La seguridad (ese script que incluye la validación del script) ha de hacerse en -cada script- de nada te sirve hacerlo bajo una estructura modular .. por qué si por A o B motivo llego al nombre de tu script .. podrías llamarlo directamente sin pasar por tu sistema "modular" que llama a esos scripts con el consiguiente problema de seguridad por tu parte.

Bajo ese concepto .. el uso de sesiones te va a ocasionar problemas. No puedes usar una estructura simple de web modular en estos casos salvo que modifiques tu script de validación y saques de el al menos la función "session_start()" y la coloques en tu "index.php" (o donde armes tu web modular) justo antes de todo HTML que puedas tener en ella.

Un saludo,