al de barna...pos yo lo solucionaría sin sessions de la siguiente manera:
archivo único que después incluiría mediante un include o include_once en los archivos que procedan llamado permiso.php
en permiso.php valido testeando con la base de datos si el nombre de usuario y contraseña son los correctos.
Si no son los correctos, no accedo al menú.
No sé, a lo mejor me aclaro más si veo aplicaciones pre hechas...si alguien sabe un link donde leerlas...