En general, para evitar "session fixation" es recomendable ejecutar session_regenerate_id() al momento de cambiarle los permisos al usuario.