Premetto che una parte del problema è stato già trattato in questo form da una mia collega, proprio due giorni fa, adesso tocca a me di risolvere il problema di nascondere lo script.

Ho creato un sistema di login composto in questo modo:
pagina1.php con il form
pagina2.php recupera i dati e li processa, se l'utente è identificato viene indirizzato a pagina3.php (reindirizzamento in php)
pagina3.php fa quello che devo fare
pagina4.php fa il logout resettando tutte le variabili.

Una volta fatto il logout, se uso il tasto indietro del browser, mi vengono mostrate tutte le pagine php tranne la pagina2.php e mi va bene, nessun malintenzionato riesce ad entrare nell'area riservata.

Se analizzo il codice sorgente della pagina1.php, riesco a scoprire a cosa si collega il form ossia pagina2.php.

Se punto direttamente a questa pagina scrivendo direttamente l'url nella barra degli indirizzi, un malintenzionato riesce ad entrare nell'area riservata.
Questo succede poichè, all'interno della pagina2.php, vi è la seguente istruzione:
$password=$_POST('password');
Essendo $_POST una variabile superglobale che non posso eliminate, mi valorizza la variabile $password anche senza passare per il form della pagina1.php e mi fa l'accesso all'area riservata.

Dietro al problema della variabile $_POST ci stiamo da una settimana e l'abbiamo risolto ieri, su questo sito.
Se nascondo il reidirizzamento alla pagina2.php, la situazione è un pò più sicura di quella attuale.
Ovviamente non cerco livelli di protezione di una banca ma un minimo mi farebbe piacere.

Grazie mille.
Mariuccia.

P.S. Come si fa ad intercettare il redirezionamento che ho creato io in php dal momento che è lato server? Sicuramente con conoscenze non alla portata di tutti, vero? Grazie