El proceso de validación "seguro" sería:

1) formulario HTML donde pides tu usuario -> password
2) Script PHP que hace la consulta a tu BD y decide si el usuario es válido o no
3) creación de una cookie o variable de sesión para hacer el seguimiento del usuario en las páginas que se tenga que validar que el usuario pasó por tu autentificación
4) Tu aplicación .. es decir, una vez validado el usuario decides que vas hacer .. por ejemplo .. redireccionar a otra página o donde requieras. La página que redirecciones tendrá que ver la existencia de esa cookie o sesión para derminar si el usuario llegó autentificado o bien "intentò" entrar directo a una página "autentificada" de tu zona segura ..

<spam>
La base de todo esto lo hace mi scriptcito Autentificator:
http://php.cluster-web.com/autentificator/
</spam>

Un saludo,