Yo uso esto

<?
session_start();
$usuario = $HTTP_POST_VARS["usuario"];
$clave = $HTTP_POST_VARS["clave"];


///// aca deberias berificar contra la base de datos lo que vos quieras
///
//////
if ($usuario=="xxx" and $clave=="xxx") /// esto obviamente lo cambias
{
session_register("login");
$_SESSION["login"] = "ok";
?>
<SCRIPT LANGUAGE="javascript">
location.href = "principal.php";
</SCRIPT>
<?
}
else
{
?>
<SCRIPT LANGUAGE="javascript">
location.href = "login.php";
</SCRIPT>
<?
}
?>




Luego en cada pagina protegida por este login pongo

<?
session_start();
if ($_SESSION["login"] == "ok")
{

/// muestras aqui el codigo html de la pagina

}
else
{
?>
<SCRIPT LANGUAGE="javascript">
location.href = "login.php";
</SCRIPT>
<?
}

Para redireccionar me acostumbre a usar location.href de java script pero puede usar header o lo que te resulte mas comodo.

Espero que te haya servido