codice:
if (($password <> 'xxx') || ($password <> 'zzz')) {
header("location:error.htm");  }
la condizione che hai impostato è sempre vera....

Se $password vale ad esempio 'xxx' la prima condizione è falsa, ma la seconda è vera per cui risulta true.

Se $password vale 'zzz' allora la prima condizione è vera e la seconda falsa... sempre true come risultato finale.

Se $password è un altro valore hai due true