da php ja nur auf dem webserver ausgeführt wird, kannst du das passwort (anders als bei javascript) direkt in deinen quelltext schreiben. das kann sich niemand anzeigen lassen.
also
if ($passwort = "geheim") {dann blabla}. ich würde das passwort auch nicht über den url übergeben, sondern per method="post" schicken. dann abfragen
if ((request_method="post)&&($passwort="geheim")){include "die_seite.php";}
bei dieser methode ist das problem allerdings, daß der krams eben offen ist, wenn sich einer eingeloggt hat. das könnte man also mit cookies kombinieren. gib mal in ne suchmaschine "php", "passwort" und "session" ein.
es gibt einige fertige scripts zum herunterladen, leider weiß ich keine url aus dem kopf.