Originariamente inviato da bovos
se ho ben capito la variabile viene azzerata

$utente_autorizzato = false;

per non essere sovrascritta da quanto passato nell'url
e poi ri-settata automaticamente dalla sessione
No: se usi register_globals ad OFF, l'unico modo per richiamare variabili di sessione è l'array superglobale SESSION.

Questo significa, in altre parole, che se hai la variabile $utente_autorizzato=marco trasportata dalla sessione, in ogni script, posto un session_start() iniziale, tale variabile può essere richiamata come $_SESSION['utente_autorizzato'] e non come $utente_autorizzato, che sarà nulla anche se passata da query string.