vorrei fare un sito con un area privata, quindi con le sessioni... ora creo la pagina di login...

<form action="/controllologin.php" method="post"> ecc ecc

apro la pagina controllologin.php

<?php
$nickname=$_POST['nickname'];
$password_inserito=$_POST['password'];

$connection=mysql_connect("62.149.150.45","Sql8555 5","b06162f0")or die("non trovo il database");
$scegli_db=mysql_select_db(Sql85222_1,$connection) or die ("non trovo la tabella");

$query="select * from membri where nickname = \"$nickname\" and password = \"$password\"";
$risultato=mysql_query($query,$connection) or die(mysql_error());
$controllo=mysql_num_rows($risultato);

if($controllo==0){
$_SESSION['trovato']=0;
header("location: /login.php");

}
else{
session_start();
$_SESSION['trovato']=1;
}
?>


e poi in una pagina protetta inserisco, prima di tutto:

<?php
session_start();
if($_SESSION['trovato']!=1)
{
header("location: /index.php");
}
?>

però entro ancora con qualsiasi password inserisca nel login... come posso fare?