>>931-933
みなさん、ありがとうございます。
試しに以下のようなソースを書いて、別の階層に置いてアクセスしたら
セッションが有効になって、ログインされてしまいました。

session_start();
$_SESSION["login_check"]="on";
echo "<a href=\"http://localhost/test/\">・ログイン後のページへ</a>";

やはりログイン後のページでも、セッションの中身が正しいかどうかを
毎回チェックするようにした方が良いのでしょうか?
だいたいセッションには、IDを入れる事が多いです。