Buenas!!
pues se supone que en tu archivo privado tienes que validar que exista la session y obviamente que si n existe le das la opcion que te regrese a algun lugar y listo...
asi aunque el usuario conozca la ruta no tendra acceso porque recordaras que las sessiones se almacenan del lado del servidor por lo que es poco probable que pueda hacer mucho...
un ejemplo de codigo seria asi:
Código PHP:
<?PHP
if(!isset($_SESSION['login'])){
// Aqui lo regresas porque no esta validado
} else {
//Aqui pones la pagina que esta protegida y todo el contenido que solo puede ver si se loguea correctamente
}
?>
eso es todo...
Saludos!!