El detallito que te faltó jpinedo es el uso de sesiones o cookies para el "seguimiento" del usuario autentificado .. No sirve de mucho a nivel de seguridad poner una puerta a un recinto que no está cerrado por "murallas".
Con esto me refiero a que si validas en tu "index" a donde ir .. pero donde llegas (acierto.php) no constrastas si el usuario "pasó" por ese index y fué validado .. podría entrar por "atras" directamente sin pasar por el validador.
Código PHP:
<?php
session_start();
if($_POST['palabra'] == "casa"){// si la variable 'palabra' que se envió por post == "casa"
$_SESSION['validado']='daigual';
header("Location: acierto.php");
exit;
}else{
header("Location: noacierto.php");
exit;
}
?>
y en acierto.php ...
Código PHP:
<?
session_start();
if (!isset($_SESSION['validado'])){
header ("Location: formulario.php");
exit;
?>
// resto de script ...
}
Un saludo,