mm .. Sí, el uso de sesiones es correcto .. pero en lo personal a mi no me gusta usar una variable para decir "si, está en el sistema" ... prefiero guardarme ahí por ejemplo el "ID" del usuario .. o el nombre (nick) del usuario con tal de sacarle más provecho a esa variable, ya que igualmente se puede seguir validando; en este caso por la existencia de la misma mas que por su valor.
Código PHP:
if (empyt($_SESSION['nombre_usuario'])){
// si no está en el sistema autentificado .. lo redireciono al "login"
header ("Location: login.php");
exit;
}
// resto de script/página que requiera la autentificación ...
Un saludo,