Te faltan muchas cosas, por ejemplo registras la sesion antes de que se validen los datos. Oseea que puedes meter cualquier cosa en tu login por que no lo verifica antes de crear la sesion.
ADEMAS para validar tu usuario podrias usar algo como esto:
Código PHP:
Ver original//usuario existe y la contraseña es correcta
}else{
//el usuario no existe o la contraseña no es correcta
}
Tambien deberias crear un archivo con el codigo de la conexion a la base de datos e incluirlo en donde sea necesario.