io farei uno script del genere:

function authenticate() {
header("Location: login.php");
exit;
}

if (!isset($_SESSION[user])) {
$link = mysql_pconnect ("host","user","pass") or die("Connessione non riuscita");
mysql_select_db("my_db") or die ("Database non selezionato");
$query = "SELECT * FROM Users WHERE Username='$username' AND Password='$password'";
$result = mysql_query($query) or die("Query $query ".mysql_error());
if ( mysql_num_rows($result) != 1 ) {
authenticate();
}
else {
$row = mysql_fetch_array($result);
session_start();
session_register("user");
$_SESSION[user]=$username;
}
}

salvi questo codice con un nome tipo check_auth.php e lo includi in testa a tutte le pagine che vuoi proteggere. quando la pagina viene chiamata questo controlla se in sessione c'è $user. se è settato passa oltre e fa vedere la pagina, altrimenti chiama authenticate() che rimanda alla pagina per fare il login...
spero di esserti stato utile