No era necesario crear un mensaje para cada cita

El exit; en PHP sirve para terminar la ejecución del script. Si piensas hacer una redirección "detenible" (ya sea con javascript o usando metas), entonces debes asegurarte que sólo se envíe el código de la redirección, mas no el de tu contenido protegido. Para eso sería el exit; (No agrega nada a la redirección, sólo protege tu contenido). Pero por eso te sugerí usar header() para redireccionar en vez de.

Y tu segunda pregunta, todo es cuestión de armar una lógica sencilla, segura, y fluida. Al momento de iniciar sesión guarda en una variable de sesión el usuario y la contraseña (codificada?). Al momento de verificar si un usuario está loguado o no, primero (básico) verifica que esas variable de sesión existan, y si sí, entonces recién procedes a consultar a la base de datos. Es sólo para agilizar el proceso. Además, te recomendaría tener separados el proceso de login y de reconocimiento de usuarios. En el login usa sólo variables POST, mientras que en el reconocimiento sólo variables de sesión.