non registri $loggato nella session. Controlla le parentesi nei vari if (mettile anche per istruzioni singole, dove teoricamente si potrebbero anche omettere).

Resta comunque il problema che usi array "deprecati" HTTP_POST_VARS adesso è POST ad esempio, così come REQUEST