De nada sirve que "valides" a tu usuario con su contraseña si luego redireccionas a una página "html" simple sin hacer un seguimiento al usuario (por cookies o sesiones).

Fijate que si marcas la URL directo de esas páginas "protegidas" entras igualmente con o sin autentificación.

En el foro hay multitud de ejemplos (incluso en las FAQ's creo recordar). Pero lo principal es que NO ESCRIBAS en mayusculas xD y que uses sesiones o cookies para hacer el "seguimiento al usuario" en las páginas que requiera autentificación validando la existencia de esas variables de sesión o cookie que creas en el instante que valides a tu usuario.

Un saludo,