Ciao emanuelevt1,
cercherò di indirizzarti con il minimo di codice possibile.

Dunque in login.php avrai inserito il form per inviare username e pwd alla pagina verifica.php,
che verifica che i dati siano corretti:
1 - se i dati sono corretti, aggiunge un token in sessione (da testare su tutte le pagine da proteggere) e ridirige l'utente verso la pagina da visualizzare show.php;
2 - se i dati sono KO allora redirige l'utente alla pagina di login.

Il codice(minimo) di verifica.php:
Codice PHP:
session_start();

$user 'Pippo';
$pass 'Pluto';

if(!isset($_POST['username']) || !isset($_POST['pwd']) 
         || $_POST['username'] != $user || $_POST['pwd'] != $pass)
   header('Location: login.php?msg=Utente non validato');

$session['utente'] = $user '$' $pass;
header('Location: show.php'); 
Non dovrebbero esserci errori.

Ciao