Infatti era il primo modo a cui avevo pensato.
Poichè la pagina in con il form login è la stessa che deve visualizzare i documenti in caso di login positivo, avrei dovuto creare comunque una condizione per far sì che header("Location: index.php") non ciclasse in eterno, ovvero se entri nella pagina come utente qualsiasi non c'è bisogno di refresh, se entri come utente loggato sì, ma una volta soltanto, quindi avrei dovuto costruire una variabile flag per evitare di entrare nel ciclo.