MSDark ..

El session_start() puede ir dentro de tu programación PHP donde quieras .. El requisito es que NO exista nada de HTML antes de dicha funcion o de header() por ejemplo tambien ...

Es mas . como lo tiene originalmente fmmeson es correcto .. Si chekea si las variables entran por POST (de sus formularios de login ..) y se contrastan con su array de usuarios .. Si es correcto se inicia la session y se crean las variables de session q el usa.

Si inicias la session al principio del script .. estas creando un archivo de session (con su SID correspondiente) SIN datos .. pues caso de no validar al usuario no se usaría la session.

Un saludo,