Te recomiendo guardar en la FILA del usuario en la base de datos el identificador de session session_id() y chequear que el identificador del usuario sea el mismo que esta guardado en la BD en todas las páginas que quieras proteger. Me explico?