lo único que veo que le falte es un HASH como MD5 o SHA1, del resto es bastante simple y completo.

¿a que te refieres con que no protege las páginas?: cada pagina debe de verificar al menos si la sesión fue iniciada, eso lo implementas tú (este código simplemente loguea, más nada), puedes usar un require o include para eso.