Nel codice che ho postato se la sessione non è definita e quindi l'utente non è collegato viene eseguito exit() altrimenti procede al cambio della password...
Volendo potresti mettere un header("location:....."); prima di exit() per mandare l'utente a una pagina dove gli dici che non è collegato