الان که بیشتر فکر میکنم میبینم شما بخاطر استفاده از session_regenerate_id به این مشکل برخوردین. موضوع از این قراره که شما یه درخواست میدین و سرور میخواد سشن رو تغییر بده و توی دیتابیس، id عوض میشه ولی قبل از اینکه جواب به کلاینت برسه و اونم توی کوکی، PHPSESSID رو عوض کنه، یه درخواست دیگه میفرستین که چون همون id قبلی با کوکی ارسال شده، یه درخواست جدید درنظر میگیره و رکورد جدید میسازه یا لاگین نشده حساب میکنه چون سمت سرور id سشن عوض شده ولی مهلت ندادین جواب از سرور بیاد و id جدید توی کوکی کلاینت ذخیره بشه. بهرحال توی سرور واقعی بعید میدونم چنین سناریویی پیش بیاد.