Hocama katılıyorum, session sıkıntılı bir durum. Dışarıdan sitenize request atarak session gönderimi de sağlayabilirler. Yani üye rütbesini kafasına göre gönderebilir adam, üye id'yi kullanırken dâhi şifreleyerek kullanmanız en doğrusu olacaktır. Database'inizde üye bilgilerini tutun, session'da bulunan üye id bilgisini kullanarak tek bir sorgu vasıtasıyla tüm bilgilere erişin. En sağlıklı yöntem bu olacaktır. Sorunun çözümünü de fark ettim, session_start ve ob_start'ı sadece session tanımlı değilse başlatıyorsunuz. Session bilgisi çekeceğiniz zaman da başlatın ki doğru dataya erişebilesiniz.
Dışarıdan nasıl sessiona ulaşacaklar merak ettim doğrusu $_SESSION $_GET ve $_POST gibi dışarıdan müdahale edilecek bir yapı değil diye biliyorum. sessionlar ilgili çerezle birlikte sunucu tarafında barındırılan değerler değiller mi?