En fait, sur ta page où la personne se logue (entre son nom d'utilisateur et son mot de passe), une fois qu'elle valide les infos saisies, via un script php tu récupères ces infos et tu crées une nouvelle session (un objet session par utilisateur, mais t'as pas à t'en soucier, c'est apache qui gère ça). Sans cet objet session, tu te définis 2 variables, par ex:
$_SESSION["Login"] = "toto";
$_SESSION["password"] = "titi";
mais avant d'avoir créé ton objet session, t'auras au préalable vérifié que le couple logion/password existe dans ta bd.
Ensuite, sur chacune de tes autres pages, tu vérifiras simplement que ton objet session existe pour cet utilisateur (fonction isSet(), je crois, par ex: isSet($_SESSION["Login"])).
Histoire de faire un truc un poil plus sécurisé, j'encodais en md5() côté client (donc via du javascript) le mot de passe et c'était ce mot de passe en md5 qui était stocké dans la bd. Comme ça, lors de la transaction client/serveur, le mot de passe est "crypté" (il est pas en clair) et dans ta bd, c'est aussi le cas. Ainsi, l'administrateur pourra pas connaître les mots de passes des utilisateurs...