A ver, un par de cosas, el codigo PHP sera totalmente inaccesible para el usuario, salvo que este tenga acceso via ftp(cosa que no es lo normal), la salida que tendra sera puro codigo HTML.

Con respecto a lo de no ver la direccion para no entrar sin autentificacion, lee el siguiente post http://www.forosdelweb.com/f18/puede-esconder-algun-trozo-url-338854/
ahi te aclaran un poco mejor lo que debes hacer para evitar que puedan acceder solo poniendo la direccion.
Saludos.