Quindi in login.php:
1. Cominci con session_start().
2. Ricevi nomeutente e password dal form e se questi sono validi regoli una variabile $_SESSION["loggato"]=true

In tutti i file che hanno bisogno dell'autenticazione invece:
1. Cominci con session_start().
2. Controlli che $_SESSION["loggato"]==true, se non lo è ti incavoli...

Ma una domanda anch'io...
Come posso evitare che qualcuno mi sniffi la password e il nome utente?
Ora ho messo che invece di inviare la password in chiaro ne invio l'MD5 e da server mi calcolo l'MD5... solo che se uno mi sniffa l'MD5 puo' autenticarsi lo stesso (seppur non scoprirà la password)... E' possibile o devo cercare qualcosa come SSL?