Estimado el user y la pass viene de un formulario anterior,po eso no lo ves lo que hice fue imaginar que estos fueron mandados, ahora bien según lo que te entendi cuando tu codigo encuentra en la base de datos que el usuario ya existe lo envia a la pagina protegida verdad?, lo que creo que tendrías que hacer es que cuando encuebtre los datos del usuario en la base de datos hacer un header o se por ejemplo:
Código PHP:
if($certificar=mysql_query($variable,$link)){
header("Location: [url]http://www.php.net[/url]");
}else{
echo "Usuario no autorizado";
}
aqui cuando por la query comprueba que existe te direcciona a la página deseada de lo contrario te da usuario no autorizado, incluso puedes hacer otro header que cuando falle la autentificación te mande a la pagina del formulario de autentificación nuevamente.
Código PHP:
if($certificar=mysql_query($variable,$link)){
header("Location: [url]http://www.php.net[/url]");
}else{
header("Location: [url]http://www.formulario.php[/url]");
}
una observación el header tiene que ira al principio de una página antes de cualquier código html. espero te sirva