codice:
header("location:nonautorizzato.php");
Come tutte le funzioni che modificano l'header della richiesta http puoi richiamarla solo prima di fare qualsiasi output sulla pagina.

ciao