Metodi di protezione aree riservate

[EmilioPaolo]

Ciao
Mi chiedevo quale fosse il metodo più sicuro per accedere a pagine riservate (es. accesso ai dati del db).

Empiricamente pernsavo di:
a)Dotare il db di pwd;
b)Creare un accesso dalla home page con richiesta di login;
c)Se autorizzato apri <<riservata.asp>>;

1) Mi chiedevo però: è assolutamente impossibile per eventuali malintenzionati accedere alla directory del sito e visualizzare il vero nome della riservata.asp e quindi aprirla senza passare dal login?
2) Se qualcuno visualizza il codice della pagina con il login leggerà le pwd; E' possibile forse superare il problema creando delle pagine incluse?
Grazie per l'attenzione
Saluti a tutti.
P.S.
Perchè con Firefox mi chiede in continuazione di loggarmi? Cookie?

[Mems]

La situazione ottimale, dati gli strumenti di cui siamo a disposizione, database e pagine dinamiche, senza poter accedere ad esempio all'Active Directory del server o a un server LDAP collegato al webserver, sono tabella utenti dove sono memorizzate login e passeword e altri dati sensibili, quest'ultimi ad esempio posso stare in un'altra (o altre) tabella legata a quella degli utenti in base all'ID dell'utente stesso.
Quando un utente si logga puoi caricare in session il suo ID, oltre allo user e alla password e ad ogni chiamata di pagine che visualizzano dati sensibili puoi fare sempre un controllo su tre campi, ID, login e password e prelevare dalle tabelle dei dati quelli il cui ID utente corrisponde a quello nella session.

[EmilioPaolo]

Mi sembra di intendere che è possibile che qualcuno legga il contenuto della directory del nostro sito a nostra insaputa e pun non possedendo la pwd? E quindi il problema non si risolve con gli include?
E'così?