Pewnie testujesz aplikacje lokalnie. Gdzie sesja użytkownika jest przypisywana do przeglądarki. Gdy użytkownik zaloguje się z innej przeglądarki to zmieni się id sesji. Bez sensu jest zapisywać id sesji z bazie danych, jak ta sesja może się zmienić albo ciasteczka z przeglądarki zostaną usunięte i id sesji też się zmieni, a użytkownik będzie miał problem z zalogowaniem się.
Poza tym, zaleca się, żeby id sesji było zmieniane przy każdym logowaniu, żeby utrudnić wykradnięcie sesji użytkownika przez atakującego.
// Generowanie nowego id sesji
session_regenerate_id();
Edit:
Trzymanie sesji użytkownika w formie jawnej w bazie danych, też jest niebezpieczne, przy wycieku danych atakujący, mógłby się podpiąć pod dowolną sesje użytkownika.
Możesz to zabezpieczyć, długością trwania sesji użytkownika. Po danych czasie po zalogowaniu sesja użytkownika wygaśnie i dana sesja już nie będzie dostępna.