ahh esas que muestras no son sesiones ($_SESSION["username"] y $_SESSION["password"]), si no variables de sesion, de las cuales puedes tener muchas (me imagino que le limite sera la memoria del servidor) y se destruyen con: unset($_SESSION["password"]);