PHP se ejecuta del lado del servidor, por lo tanto, cuando un visitante ingrese a "http://mi.web.dominio/login.php" solo va a ver el código en HTML, no verá nada de PHP.
si necesitas hacer una página de Loguin protegida, puedes hacerla así:
ojo, este es un ejemplo simple y echo a las apuradas
Código PHP:
<?
$usuario="Leo";
$clave="supersecreta";
@$formUsuario="Leo";
@$formClave="supersecreta";
if ($usuario===$formUsuario AND $clave===$formClave){
echo "El usuario ingresado es válido";
}else{
echo "El usuario ingresado y/o la clave son inválidas";
}
?>
Para que esto funcionde debes crear una página en HTML con dos campos de texto 1 llamado usuario y el otro llamado clave, no te preocues, que los codigos no lova a poder ver ningun visitante a tu sitio, salvo que accedan por FTP
Un saludo