Non e' corretto dal punto di vista della sicurezza includere un file che si incarica della sicurezza.... e che in mancanza dell'inclusione lo script continui lo stesso. Non so se mi spiego...
perchè? Non sono molto pratico ancora come puoi vedere.

comunque ho risolto. Tra i due script la differenza era un session_start() nella pagina del form login. Avendolo inserito funziona tutto alla perfezione!!!