Hallo jobo,

was passiert, wenn man zeigmehr/nochmehr.php direkt aufruft?

Generell besteht die Möglichkeit, per htaccess und htpasswd Ordner zu schützen. Diesen Mechanismus kann man auch mittels php dynamisch nutzen, indem man dem Browser sendet, dass es sich um eine passwortgeschütze Siete handelt.
Erst nachdem der User sich angemeldet hat, erscheint die Abfrage nicht mehr. Bei einem erfolgreichem Login sind bestimmte Variablen innerhalb PHPs gesetzt soweit ich mich erinnere. Leider finde ich grade kein Beispiel dazu :-(

Eine Alternative wäre es, über Sessions zu prüfen, ob man eingeloggt ist oder nicht. Wenn nein, dann Login-Maske und diese Routine muss in jedes zu schützendes PHP.

Gruß,
the-FoX