Las cabeceras HTTP que usas para no "cachear" la página .. también puedes usarlas desde funciones de sesiones con:

session_cache_limiter() .. con opciones como "public" .. "nocache" y algunas más ...

Si haces:
$_SESSION['var']='';

Es recomendable que hagas:
unset($_SESSION['var']) .. como de hecho lo haces en otra parte del código .. y que uses isset() y/o empty() a esa variable como ya lo usas para ver si está definida (si está creada esa variable de sesión) o si tiene valor a su vez (distinto de NULL o 0)

Por lo demás .. veo "enrredado" la lógica . con todas esas variables de sesión que vas creando tipo $_SESSION['esteserdelespacio'] o la de
$_SESSION['lapersonaesvalida'] (no he estudiado profundamente la lógica . .pero a simple vista esa es la impresión que me dá). Creo que si "pules" un poco más la lógica .. te podrías ahorrar alguna de esas variables de sesión y seguiría siendo seguro tu aplicación ...

Un saludo,