Piensa un poco lo siguiente:
Si un usuario no ha iniciado sesión ¿por qué deberías permitir ejecutar tus scripts?
Un hacker jamás podrá ejecutar ningún script tuyo mientras no haya iniciado sesión, así de simple.
El tema es que las sesiones no protegen nada por arte de magia, sólo son un mecanismo para identificar a un usuario: aún así debes implementar la lógica para validar todo.
Código PHP:
Ver original
if (!isset($_SESSION['soy_un_usuario_valido'])) { die('NO SE PUEDE HACER NADA'); }