ok mit php kenne ich mich zwar nicht aus aber grundsätzliches hierzu:

Die session id in der url erscheint denke ich mal wegen der methode (GET) mit der die folgeseite aufgerufen wurde. bei (POST) erscheint sie nicht.

ich mache das beim logon so:
überprüfe ob username in tabelle steht mittels SQL WHERE [user] = "FORMFELD.USER" dann checke ich mittels if password = "FORMFELD.PASSWORD" und entsprechend initiere ich die Session in dem ich den usernamen eintrage. Damit prüfe ich dann im verlauf der Seiten auch welche daten der User ändern darf etc.

unsicher kann das ganze an der stelle sein, wo du die überprüfung der angaben machst. dazu hast du allerdings nichts gesagt.

"FORMFELD.XXX" bitte in entsprechende Script Sprache übersetzen, ich benutze ASP

netghost