No entiendo ahi sale que si encuentra un usuario "loguea" pero porque no guardas en otro session tambien el userid para poderlo usar mas facil en otras partes de la web.
Por otra parte sino encuentra al usuario aun asi mostrara un mensaje de bienvenida con la contraseña y eso para que ? porque no mostrar un mensaje de que la contraseña o el usuario estan mal?
Y el mayor error jamas llamas a mysql_query
Deberia ser algo asi:
Código PHP:
<?php
session_start();
if($_SESSION['Conectado'] != true)
{
echo "Ya estas Conectado";
}else{
include('cnx.php');
$var1 = $_POST['usuario'];
$var2 = $_POST['passwd'];
$sql = mysql_query("SELECT id_usuario, usuario, password FROM tbl_usuario WHERE usuario = '".$var1."' AND password = '".$var2."'");
if(mysql_num_rows($sql)){
$_SESSION['Conectado'] = true;
$_SESSION['USER'] = $var1;
header("Location : estudainte.php");
echo "Bienvenido '".$var1."'";
}else{
echo "Usuario y/o Contraseña Incorrectos";
/* header("Location : docente.php");
echo "Bienvenido '".$var2."'"; */
}
}
?>