also mir zumindest ist nicht ganz klar, worum du dich sorgst ...

wenn der user nun login.php aufruft und sich einloggt, du setzt die id (wo? per cookie? oder nur in formularfelder, die per post abgeschickt werden?). wenn der user nun aktualisiert und sich somit wieder einloggt, kriegt er doch einfach ne neue id, wo ist das problem?