$pwd = $_POST["pwd"];
AND pwd = '$pwd'" !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Lo pimero que te recomiendo es que metas algún cifrado para las paswords en la base de datos, eso de meter a pelo las contraseñas es un pelín inseguro. Mírate alguna función hash, md5... Hay muchas.

En cuanto a las sessions, otra buena idea es no poner nombres de campos triviales. Yo lo que suelo hacer es montar una pequeña función que devuelva una cadena aleatoria de números y letras, que asigno a cada usuario. A la hora de crear campos de sesión hago:
$_SESSION[getCadena() . '_id'] = $id;

De esta forma, getCadena() va a devolver siempre para el mismo usuario la misma cadena (sino, no podrías acceder al campo después), pero el nombre no queda trivial, sino que sería algo del tipo A67QWBQF97ASBDFQ9WEBFAS351_id, con lo que añades seguridad ante ataques por SESSION.

Un saludo.