per farvi capire meglio vi do anche il codice della pagina che riceve i dati da login.php :
<?php
$myconn = mysql_connect('localhost', 'xxx', 'yyy') //Mi connetto al MySql Server
or die('Connessione non riuscita: ' . mysql_error());

mysql_select_db('my_xxx', $myconn) or die('Selezione database fallita!');

//
//Controlliamo se tutti i campi sono compilati
//

if($username == "" || $password == "" ) //Se alcuni campi non sono compilati...
{
die("Alcuni campi non sono compilati"); //...terminiamo lo script e mandiamo un errore all'utente
}

//
//Recuperiamo i dati dal database e li controlliamo
//

$query = "SELECT * FROM utenti WHERE user = '$username'"; //Impostiamo la query...
$risultato = mysql_query($query) //...e la eseguiamo
or die("Impossibile eseguire query.
".mysql_error()); //Oppure mandiamo il solito errore
$riga = mysql_fetch_array($risultato); //Fissiamo la riga

if(mysql_num_rows($risultato) == 0 || $riga['password']!=$password) //Se l'username o la password sono sbagliati...
die("Username e/o password errati"); //..mandiamo l'errore e terminiamo lo script
else //Altrimenti...
{
session_start(); //..avviamo la sessione...

$HTTP_SESSION['username'] = $username; //...e salviamo i dati in essa
$_SESSION['password'] = $password;
//$HTTP_SESSION_VARS['password'] = $password;
}
?>

E questo invece è il codice per tutte le altre pagine all'interno dell'area riservata:

<?php
$myconn = mysql_connect('localhost', 'xxx', 'yyy') //Mi connetto al MySql Server
or die('Connessione non riuscita: ' . mysql_error());

mysql_select_db('my_fxxx', $myconn) or die('Selezione database fallita!'); //Mi connetto al database fantabumba //
//Otteniamo i dati
//

$username = $HTTP_SESSION_VARS['username']; //Otteniamo l'username
$password = $HTTP_SESSION_VARS['password']; //Otteniamo la password
?>