Usa sesiones para tus variables del "login" y así validar a tu usuario por la existencia de esas variables de sesión que no son alterables como las que puedas propagar por el URL .. pues estas (las variables de sesión) quedan/permanecen en el servidor.

En las FAQ's de este foro PHP tienes ejemplos sobre uso de sesiones básico.

Un saludo,