bienvenido, y si mandas 1 campo oculto con el valor 1 es obvio que te va a dejar entrar y sin bloquearte :: , no deberías mandar ningún campo de nada, lo que deberías hacer es que para el campo ese "ESTADO" en tu tabla, al momento de crear 1 usuario cualquiera, por defecto cuando haces el "insert into...blablabla" para ingresas el usuario sea 1 el valor para ese campo, luego lo que tenes que hacer en tu consulta para login es, primero validar que los datos del usuario concuerden, nombre y contraseña, si eso es valido, entonces recién ahí haces 1 selección (select) del valor del campo ESTADO para saber si es 1 o 0, y ahí recién determinas si lo dejas entrar, creas las sesiones, etc etc