se ho ben capito la variabile viene azzerata

$utente_autorizzato = false;

per non essere sovrascritta da quanto passato nell'url
e poi ri-settata automaticamente dalla sessione