Beh, controllare ad ogni page load che un utente ti abbia fornito username e password giuste, mi pare un inutile spreco di energie, proprio come l'idea di memorizzare una coppia username e password dentro la sessione non mi pare geniale, soprattutto se usi le sessioni standard di php che scrivono i loro contenuti il file non criptati sul disco del server.

Piuttosto, inserisci nella sessione un hash md5 della funzione time(), la cui presenza ti indica che l'utente ha fatto login, hash che memorizzi anche nella tabella utenti, così da riverificarlo ogni volta che vuoi, magari però solo quando l'utente posta o fa comunque delle azioni che provocano cambiamenti sul sito: in questo modo puoi essere abbastanza sicuro SENZA dover controllare ad ogni pagina...