$userdatei = fopen ("ap/user.txt","r");

zu dem bereits gesagten finde ich das hier auch äusserst sicherheitskritisch, wenn die datei mit userdaten innerhalb deines public-verzeichnisses liegt

security through obscurity ist in manchenfällen sinnvoll (zusätzlich zu einem bestehenden, ordentlichen system) sonst aber nicht

du solltest (sofern du es nicht bereits getan hast) tunlichst dafür sorgen, dass der server bei einem direktzugriff ein 403 forbidden rausfeuert - das brigt aber das risiko, dass du bei einem unzug ggf vergisst, dass diese datei geschützt werden muss

noch besser: hinterlege die daten in ein php-include (ein array zb) und prüfe in diesem file ob eine konstante aus dem mutter-file gesetzt ist - wenn diese konstante nicht vorhanden ist, lasse das script kommentarlos sterben

noch viel besser:
verlagere die daten in eine datenbank oder verschiebe sind an eine stelle ausserhalb deines public-verzeichnisses