El problema es que si vos le das cualqueir valor a la session id ya no esta vacia... lo cual le permite el ingreso a tu sistema