lorenzo hernandes garica
un pequeño error en vuestro script que permitiría a alguien inyectar consultas SQL contra la autenticación de usuario:

$ssql = "SELECT * FROM usuario WHERE nombre_usuario='$usuario' and clave_usuario='$contrasena'";

A través de ese sistema ( inseguro ) podemos hacer lo siguiente:

suponiendo que las variables del url son usuario y passwd ,

[script].php?usuario=[usuario valido]'--

Y con eso accederemos ( podrá resultar bajo determinadas condiciones ) a la interfaz protegida sin más que el nombre de usuario.
Quedaria asi la consulta:

SELECT * FROM usuario WHERE nombre_usuario='[USUARIO VALIDO]'-- and clave_usuario='$contrasena'
NOTA: -- comentará el resto de la consulta , en este caso la comprobación de password.

Así es posible hacer otro tipo de consultas más destructivas:

Usar OR 1 = 1 , ( siempre afirmativa ) etc.

Con versiones de mysql 4.x se pueden enviar consultas sin formato:
[CONSULTA 1];[2]...
posibilitando aun más una acción destructiva.