También he trabajado con sesiones aunque cuando intenté usar md5 topé con pared.

Yo uso en la página del sitio donde accesa el usuario, antes que cualquier línea

if (isset ($_SESSION['usuario'])){

//el código de la página

}
else{
header ("Location: no_acceso.php");
}

no sé si sea muy prolijo, pero por lo menos si intentan ingresar al sitio sin autorizarse, les manda a otra página...