session_start();

Also ich täte für sowas ja die HTTP-Variante benutzen, da braucht funktioniert's automatisch, garantiert und braucht keine Sessions.

if(isset($access))

$access wird nie gesetzt (siehe unten).

{
 $query = "select email, pass from member where (email = '$frm_loginname')";

Bei Benutzereingaben IMMER mysql_escape_string() einsetzen. Außerdem solltest Du externe Variablen wie die Formulardaten besser über $HTTP_POST_VARS[] bzw. seit einer ganzen Weile über $_POST[] abfragen.

$query = "select email,pass from member where email='".mysql_escape_string($_POST["frm_loginname"])."'";

$erg = mysql_query($query, $dbh);

Wo ist die Fehlerbehandlung?

$row = mysql_fetch_array($erg);

Wo ist die Fehlerbehandlung?

if(isset($logon))

$logon wird im obigen if-$access-Block gesetzt..

{

[..]

$access = "ok";
}

..und $access im if-$logon-Block. Wer kann nun wohl zuerst da sein, die Henne oder das Ei?

Gruß,
  soenk.e