prima effettui il login (ossia controlli se esiste uno username con quella password)
se il controllo ha esito positivo metti tutte le informazioni nell'array di sessione. poi quando ricarichi le pagine protette non fai altro che vedere se l'array session e' stato riempito con i dati dell'utente per capire se si e' loggato.
percui potresti navigare in maniera totalmente svincoltata dal database.

ma questo puo' dare problemi di sicurezza?
ci sono altre considerazioni di fare?