No sé a que te refieres con que "todas las variables de sesión" aparecen en "1".
Lo que si te puedo asegurar es que si no cierras toda ventana de tu aplicación para hacer denuevo el login .. es decir, que vuelves a tu login por algún link que apunta desde tu aplicación y zona restringida al formulario de login, el SID continua con el mismo ID asiginado ..pero en teoría si bien antes de hacer el login y registrar las variables de sesión . .no se hace un session_destroy() para "matar" la posible sesión en curso que existiera .. si que se reescriben los datos de las variables de sesión con los nuevos valores de login (del usuario/nivel de acceso correspondiente).
Desde hace unas versiones de PHP a la fecha existe la función:
session_regenerate_id() .. que podrías usar en:
Código PHP:
// incia sessiones
session_start();
// regenerar el SID (generar uno nuevo)
session_regenerate_id(); // Ojo .. sólo válido para PHP 4.3.2
// Paranoia: decimos al navegador que no "cachee" esta página.
session_cache_limiter('nocache,private');
// Asignamos variables de sesión con datos del Usuario para el uso en el
// resto de páginas autentificadas.
// definimos usuarios_id como IDentificador del usuario en nuestra BD de usuarios
$_SESSION['usuario_id'] = $usuario_datos['cod_user'];
Pruebalo y nos comentas .. pero antes aclara que es eso del variables a "1"
Un saludo,