Hola a todos,
como indica el titulo del tema, tengo un problema que espero que me ayuden a solucionar, tengo creado un sistema de login con sesiones para mis usuarios y estoy pasando el id del usuario por GET para poder recuperar algunos datos como su nombre, email, etc...

el problema es que cunado un usuario se conecta y su id=1 si cambias el id en el URL y poner 3 en lugar de 1 se conecta automáticamente como el usuario con la id=3.

el codigo del login es el siguiente;

<?php
include ("includes/config.php");

$username=$_POST['usuario'];
$password=md5($_POST['contrasena']);
$query = mysql_query("SELECT * FROM users WHERE usuario = '$username'") or die(mysql_error());
$data = mysql_fetch_array($query);

if($data['contrasena'] == $password && $data['usuario']==$username){
session_start();
$_SESSION["autentificado"]= "SI";
$id=$data['id_usuario'];
header ("Location: ssctc.php?id=$id");
}else {
header("Location: index.php?erroracceso=si");
}

?>

Que es lo que estoy haciendo mal???
hay alguna otra manera de recuperar los datos del usuario conectado sin tener que pasar su id por la URL?

Muchas gracias de antemano.