jejej ok
explico
al entra.php hice que tmb metiera el PASS en uan variable de session (que no se llama PASSWORD porke si no darian un echo $_SESSION['PASSWORD'] y se harian del PASS
se llama SECRETITOSCOM(PUSE PASSWORD en el code para que entiendan)
pongo el include a verifica debajo del include del config.php donde está el USER y PASS del sistema
entonces en cada pagina antes de cargar verifica si el password y usuario que está en la variable de sesion es el mismo que en el config.php
asi ya no me hacen inyeccion con una session falsa ya que ya no verifica si el usuario no es = a "" como me mencionaban en POST anteriores
el primero if
if($us !== $Usuario1 && $ps !== $Password1)
verifica que el USER y el PASS corresponda SI NO actualiza la pagina que hace LOGOUT y destruye las sesiones
el segundo if
elseif($us == $Usuario1 && $ps !== $Password1)
verifica si el USUARIO que hay en la session corresponde al PASS de ese usuario (por si le atinaron al USER, pero no saben el pass xD)
y sino = les hace LOGOUT
tmb se podria hacer como tu dices en vez de AND un OR
si no dime que parte del code no entiendes