Primero que nada no se entiendo del todo tu problematica, podrías ser un poco mas claro?

Mas allá de todo tengo algunas cosas para remarcarte. El session_start() debería y tendría que ser lo primero en ejecutarse (lo primero significa, eso, ser lo primero) la razón de esto es que en tu caso si alguna de las funciones de mysql que estas ejecutando antes tira algún Warning o algo a la salida estándar el session_start() fallaría y se ejecutaría todo el script sin sesión (a menos que el script muera antes).
Cuando verificas si el usuario y contraseña son correcto no compares si devuelve algo distinto a cero, no me gusta esa comparación, podría traer 2 o 3 registros y esta mal!!!!! comparalo a uno al menos.
Nunca, pero nunca de los jamases metas el contenido de una variable que proviene desde el browser ($_GET, $_POST) directamente en la consulta SQL sin escapar correctamente el contenido (léase, escapar = htmlspecialchars, addslashes, etc).

Saludos.