quando controlli i dati di accesso registri in sessione la user o pass o entrambi e in ogni pagina da proteggere includi un file che contiene un controllo a db dell'esistenza dei dati salvati in sessione se il risultato è positivo visualizzi la pagina se invece negativo fai un reindirizzamento alla login. moltobasilare ma funzionante.