Il discorso è il seguente. Io ho diverse pagine da proteggere usando il controllo della variabile di sessione.
Tornando allo script, se io metto questo controllo

<?php
session_start();
if ($_SESSION['login'] != "ok") {
include ("..");
}
else {

include ("../scheda_prog/all.php");
}
?>

all.php è la pagina con tanto codice che viene chiamata.
Se però io chiamo direttamente all.php, dato che non c'è un controllo di sessione, la pagina viene visualizzata.

Ora in all.php la pagina ha codice misto, ci sono alcuni php che vengono chiamati per esempio su attributi textarea in html, ecc.
Il fatto è che nella pagina all.php ho scritto molti elementi senza usare echo.

Per farti un esempio...
ho scritto <table border...> fuori dal codice php.

Questo è un problema perché nella pagina, anche in assenza di regolare sessione, il codice html viene comunque visualizzato.

Credo che l'unica soluzione sia quella di scrivere solo all'interno del codice php, quindi usando echo ("<table border...") per arrivare ad avere un controllo molto + agevole quando impiego le variabili di sessione.