Quando un utente si collega, solitamente si fa in modo che venga creato un cookie o meglio ancora una sessione, che ne autentica il corretto accesso.
Questi valori vengono salvati rispettivamente nel pc e in sessioni.
Creiamo ad esempio un cookie:
l'unica cosa che devi fare è una condizione che verifichi la presenza del cookie e il suo valore.
Se questa condizione non dovesse essere vera puoi reindirizzarli alla pagina di login, magari con una scritta passata tramite get:
header("location:login.php?msg=Devi accedere per visualizzare l'area riservata!");

Semplice a dirsi e a farsi:
Codice PHP:
//Se il nome e la password esistono nel database, la pagina loginok.php crea il cookie permesso
setcookie("permesso","ok",time()+3600);

//nella pagina da proteggere metti all'inizio di qualsiasi cosa
if(isset($_COOKIE['permesso']) && $_COOKIE['permesso'] == 'ok'){
//codice della pagina
//alla fine di tutto metti
}else{
header("location:login.php?msg=Devi accedere per visualizzare l'area riservata!");

Fatto. Semplice no?