Controle de sessão acessando pasta

Bem gente apliquei um controle de sessão bem simples no meu sistema, basicamente redireciono o usuário para a página de login caso o valor de uma variável $_session não tive sido setada apos passar pelas condicionais que verificam o login.

Ai se o usuário tentar acessar qualquer arquivo via url sem ter passado pelo login ele sera mandado novamente para o login, até ai blz. O problema é que o usuário ainda consegui acessar as pastas do meu sistema, se ele entrar em qualquer arquivo voltar para o login, mas ele ainda consegui ficar olhando os arquivos, alguém saberia como resolver este problema?