la teoría:

-Comprobás la existencia del user y pass contra una tabla de usuarios de una BD (validá que no puedan ingresar ' ).
-si no existe (recordset vacío), lo redirigís a la pagina anterior mostrando un error
-si existe (recordset con sólo un registro), le asignás una variable de sesión y lo redirigís a la página protegida.
-en cada página que quieras proteger, preguntás por el valor de esta variable de sesión.
-si el valor es el asignado anteriormente, le permitís el paso. Si no lo es, lo redirigís a la página de logueo.

ahora te toca hacer la programación ;)