Wenn du DAS machen würdest, könnte jeder so tun als wäre er angemeldet, wenn er die Seite mit "?sid" aufrufen würde.
Überprüfe lieber, ob er eine richtige Session besitzt z.B. in der Art
session_start();
if($_SESSION['loggedin']){
//menu1
}
else{
//menu2
}
oder bezieht...