1. Данные пользователей (логин, пароль) лучше хранить в базе. В любом случае, займитесь освоением SQL - в дальнейшем пригодится.
Хотел бы получить ответ на какие грабли я могу наткнуться в будущем.
Вкратце, вы можете начать делать собственный "сторадж-менеджер", когда поймете, что информации дохрена и её надо как-то структурировать, следующий шаг - наворотить "сторадж-менеджер" настолько, что это будет похоже собственную СУБД (той или иной степени кривости). Пропустите сразу все эти шаги.
2. Url с session id это не комильфо, исправьтесь на вариант с куками. "Вроде они прописались, но иногда пользователи видят табличку входа" - так быть не должно, ошибка у вас.