Hallo,
mit .htacces hast du den vorteil das alle seiten in dem verzeichniss geschützt sind.
was mein vorschreiber schrieb ist auch mein bevorzugter weg.
dabei ist nur darauf zu achten das bei jedem seitenaufruf die session überprüft werden muß.
habe schon logins gesehen die auf der indexseite name und pwd überprüfen du aber alle unterseiten (wenn du die namen der seiten kennst) aufrufen kannst ohne dich eingeloggt zuhaben.
auch würde ich nicht den fehler machen den namen und pwd über die url mitzugeben um dann zu überprüfen ob name und pwd in der session stehen.
auch rate ich dir ssl zunutzen.
den ohne ssl werden name und pwd leserlich über das internet übermittelt.
mit ssl hast du eine kleine verschlüsselung der daten.