Per partire con controllo sessione :

1) vai al file che si occupa di gestire il login e inserisci il codice per gestire la sessione :
session_start() -> avvia la sessione
poi setti le var come username privilegi token checksum o altro
fai redirect alla pagina protetta.

2) crei uno script di controllo accesso check_access.php :
avvia la sessione
scarica i dati dalla session ($_SESSION[varname])
controlla tali dati se sono corretti fai accedere altrimenti fa redirect o uccide( die() ) l'esecuzione della pagina.

3) includi ( include("./check_access.php") ) tale script prima di ogni istruzione delle pagine protette.