despues de que mandas el form, compruebas si el usuario y password son identicos,cierto?. Si lo son inicias session_start (); despues registras las variables con session_register ('nombredevariable'), aqui no tienes que poner ('$nombredevariable'),solo con el string, despues de registradas podes manejarlas durante todos los links siguientes sin tener que mandarlas por url (es como una cookie en realidad), aqui en este archivo lo que podes hacer tambien es que si es autorizado haces un metarefresh:(<meta http-equiv="refresh" content="2;URL=xxx.php"> despues del body de html, de esta manera no tenes que usar la funcion header, que te va a tirar un error pues al iniciar la session el header ya fue mandado.
Otra cosa tene cuidado con los includes, y ademas para que la sesion funcione es todos tus phps siguientes, tienen que tener session_start (); o bien configurando el php a session_autostart= On..
creo que eso es todo!