Session môžeš považovať za bezpečnú, takže si tam kľudne môžeš uchovávať čo len chceš. Asi by bolo lepšie si pamätať id alebo meno používateľa, než len jednu konštantu, aby si ho vedel neskôr v prípade potreby identifikovať.

Ten skript nemá z hľadiska bezpečnosti žiaden problém. Neviem, na čo tam máš login a login_err, keď stačí jedno. Ja by som si pamätal iba ten login a v prípade neúspechu by som ho unsetol.