das verstehe ich nicht.
eine sessionvariable wird lokal bei dem user angelegt. und wenn er sich nicht abmeldet, vegetiert sie bei ihm auf dem rechner vor sich hin. demnach kann kein anderer user auf genau diese zugreifen. prinzipiell solltest du auch bei dem anlegen von sessionvariablen eine zeit mit angeben, sprich: nach wieviel minuten die session zerstört werden soll.
und zudem solltest du das pw nicht direkt in die session eintragen, oder zumindest vorher mit base64encode($pw) codieren...
but ask someone else, too...
nice day
chris