Mais alors, avant d'utiliser la méthode de aspegic500mg, vérifie les paramètres PHP de ton hébergeur pour voir si la directive register_globals est à Off ou, à défaut (utilises-le dans tout les cas même) n'accèdes pas à la variable de session 'login' en faisant $login, mais plutôt $_SESSION['login']. Car sinon, il suffirait de faire tapage.php?login=admin pour que la variable $login ait la valeur 'admin' et si aucune variable de session n'écrase cette valeur, le gars accède à la partie admin.
Perso, je préfèrerais une table dans ta base de données associant chaque SID au login avec, si tu le souhaites, une date de péremption et pourquoi pas l'ip du client.
PS: cherche sur le forum, il doit y avoir des topics expliquant plusieurs manières d'arriver à tes fins