çünkü ilk attığınız kod bloğunda herhangi bir kontrol yapılmadan direkt sql sorguları çalışıyor ve otomatikmen izinsiz diye yönlendiriliyor. mesela bi kullanıcı adı şifre kontrolü yapıp ondan sonra oralar çalışmalı.
Bu kontrolleri 2.attığınız kod bloğunda yapıyorsunuz ama. Durum buyken 1.kod bloğunun işlevi nedir mesela tam çözemedim. Kurduğunuz mantıkta bir sorun var sanırsam tekrar düşünerek kodlayın isterseniz.



header üzerinde yapılması gereken şey obstart ve sessionstart verildikten sonra $_SESSION['login'] tarzı bir tanımlamanın true olup olmamasını kontrol edersiniz. Eğer false ise içeri girmesine izin vermez ve login ekranı yükler mesela. Eğer true ise zaten giriş yapmıştır ve sayfaya erişimi sağlanır



örnek header

if (isset($_SESSION["login"])) {
header('Location: login.php');
}else{
header('Location: hesap.php');
}

giriş yaparkende

if ( ! empty( $_POST["login"]) ) {
$_SESSION["login"]=True;
$_SESSION["username"]=$_POST["mail"];
// vb. cogaltılabilir
header('Location: index.php');
}