Eine Session startest du grundsätzlich mit:
session_start(); in deinem header bereich. Schaffe dir einen Wert wie $_SESSION['login'], den du im Erfolgsfall auf true setzt. Erst beim Logoff oder im Falle einer zu langen inaktivität wird er wieder auf false gesetzt.

Schütze deinen Query übrigens besser vor Injections. Was ist, wenn ich als Passwort "' OR '' = ''" eintippe?