Non devi controllare login e password per ogni pagina che vuoi proteggere devi eseguire una pagina login su cui crei una sessionid per proteggere le tue pagine è sufficente che controlli se esiste la sessionid altrimenti esegui un redirect che per essere sicuri devi farlo nel seguente modo:

- controllo
- redirect
exit;