que tal si haces esto;
1. Creas un archivo php html con un formulario de login
2. Luego validas el usuario asi:
<?php ob_start();
include('conex.php');
// en este conex.php lo que tengo es la conexion a la base de datos
$sql="select * from usuarios where usuario='".$_POST['usuario']."' and clave='".$_POST['clave']."'";
$inisql=mysql_query($sql);
$rs=mysql_fetch_array($inisql);
$n=mysql_num_rows($inisql);
3. Si comprobas que esta autorizado con usuario y contraseña lo direccionas a otra pagina o al index para que no pueda acceder; ojo si tiene permiso creas una variable de session para validar en otras paginas
if($n<1){
header("location:index.php");
}else{
//debo iniciar una sesion
session_start();
$_SESSION['ses_us']=$rs['nombre'];
}
ob_end_flush(); ?>
4. ahora en las otras paginas que deseas bloquear de bes preguntar por la variable de sessio que creaste; en mi caso $_SESSION['ses_us']
de esta forma:
<?php
ob_start();
if(!isset($_SESSION['ses_us'])){
header("location:index.php");
//no ha iniciado sesion en el formulario inicial
}else{
echo "Bingo podes entrar";
}
ob_end_flush(); ?>

Espero te sirva, a mi me funciona perfectamente.