una volta che tu hai autenticato l'utente
puoi scrivere questo(naturalmente prima devi aver fatt o partire una sessione):

$_SESSION['logged']=1;


in ogni pagina protetta vai a controllare se la variabile di sessione $_SESSION['logged'] è uguale ad 1 se non lo è non dai accesso.