como ya te mencionaron haces una validacion de la matriz $_SESSION debes especificar que variable y que valor debe tener y asi si no cumple esta condicion eliminas la sesion ya que la iniciaste en el session_start() y vuelves al login.

ahora otros consejo de seguridad es que debes hacer justo después de tu session_start() un session_regenerate_id(true) con esto regeneras la id y evitas un posible secuestro de sesion con xss (cross-site scripting)

mas consejos de seguridad en

*************