Sugerencia, no incluyas archivos que tengan extensiones diferentes de .php, esto por seguridad. Imagina que un usuario malintencionado teclea la tusitio.com/MYSQL.INC, la extension .INC no sera reconocida por el servidor y puede tratarla como archivo de texto, mostrando el codigo en el navegador, o bien, como archivo para descarga.

Por el poco codigo que muestras, parece que en ese archivo tienes la informacion de acceso a tu base de datos.


Ese codigo esta mal porque estas enviando salida HTML al navegador antes de session_start(); y no podras hacer uso de las sesiones. Ten en cuenta que no debes enviar ABSOLUTAMENTE NADA antes de iniciar la sesion, no espacios, no saltos de linea, no etiquetas HTML, etc.; lo mismo si vas a crear cookies o hacer redirecciones con header().