(y usa exit; despues de header("location: ...") ademas de tener presente que no puede existir nada de HTML en ese script de proceso .. ni un simple espacio antes de <? o despues de ?> si lo llamas bajo algún include() ...)

Por cierto .. si validas a tu usuario contra una BD .. OK, le dejas pasar si tu consulta arrojó un registro .. Pero, ¿que pasa si yo accedo directo a tu datos.php ?

Debes hacer el "seguimiento" al usuario en sus páginas que visite y requieran de autentificación .. Eso lo puedes solventar con variables de sesión o cookies donde las creas al hacer el login valido y las chequedas (verificas su existencia y valor si corresponde) en el resto de scripts/páginas de tu zona que requiera autentificación (de páginas) .. A no ser que uses ¿autentificación HTTP ?


Un saludo,