Hi,

nun weiß ich aber nicht, wie ich verhindern soll, dass "Unbefugte" einfach die URL eintippen und auch so die Seiten zu Gesicht bekommen.

Dann ist Dein Zugriffsverfahren nicht sehr gut.
Wenn Du über ein serverseitiges Skript gehst, dann kann dieses auch Dateien lesen, welche nicht innerhalb des URL-Baums liegen und folglich nicht über URLs adressiert (und gelesen) werden können.

Michael