Non è vero che alla domanda come evitare che si bypassi la pagina login.php per andare direttamente a menu.php la risposta sia automaticamente le sessioni! Puoi anche usare i cookie, le sessioni du DB o altri modi. Il principio è che devi fare in modo che in menu.php (così come in tutte le altre pagine protette da login) controlli se si è passati da login.php e se il login è riuscito, poi per farlo puoi usare vari modi.