se non ci sono bachi nel login non puoi creare una sessione dal niente se non hai accesso alla macchina, anche se devi stare attento ad una cosa oltre al controllo che fai dovresti controllare l'ip del visitatore che si è loggato e se ci sono varie sezioni con diversi poteri utilizzare una variabile diversa oppure un sistema di permessi.

ti dicevo di controllare gli ip perché se hai il trans-sid su on (quasi su tutti i server) c'è il rischio che l'utente invii un link per email contenente l'id di sessione, questo provoca che se l'altro utente entra prima che scada la sessione si logga automaticamente.

ciao