Codice PHP:
if ($user == "friends" && $password == "roberta"
Presumo questi dati arrivino da un form, non si recuperano così, ma con $_POST['nome_variabile'], il modo che usi tu funziona solo se register_globals è attivato e la cosa è abbastanza insicura

Poi se vuoi continuare a tenerla privata la tua area protetta io cambierei la password