Es que si chequeas las sesiones siempre NO debe dar ese mensaje, por mucho que entren los parametros correctos por GET, debe redirigir al formulario de logueo.

Detectar si la url se ha escrito a mano o se ha usado un formulario para construirla es muy dificil si es que se puede.

Un usuario jugueton puede construir un formulario que lance tu url con los parametros que quiera por GET, no?