Scusa

Modi:
1) Con le sessioni
Ogni pagina protetta verifica che sia valorizzata una variabile di sessione, ad esempio $_SESSION["logged"]. In caso positivo visualizza la pagina
Almeno in una pagina metti un form di login che richiede una pagina, la quale verifica che i dati inseriti (utente e pass) siano corrette (uguali a quelle nel database), in caso positivo valorizza $_SESSION["logged"] = 1.
Quando l'utente preme il tasto logout (che devi mettere in tutte le pagine) cancelli la variabile di sessione con unset

2) Con i cookie
Come prima ma usando $_COOKIE e set_cookie

3) Sessioni "virtuali"
E' il modo più sicuro. C'è un'ottima guida su html.it riguardo questo argomento. In pratica usi un cookie (o addirittura il passaggio in querystring) per memorizzare un session_id generato da te, con il quale accedi al database in cui sono salvate tutte le variabili di sessione (solitamente in un array associativo serializzato)