Czy ten skrypt na logowanie jest zabezpieczony i czy jest poprawnie napisany ?

[PHP] pobierz, plaintext 
<?php
session_start();
 if(isset($_POST['login'])){
 $login = $_POST['login'];
 }
 else{
 $login='';
 }
  if(isset($_POST['haslo'])){
 $haslo = $_POST['haslo'];
 }
 else{
 $haslo='';
 }
 $l = 'login';
 $h = 'haslo';
 
 if (($login == $l) and ($haslo == $h)){
  $_SESSION['logowanie'] = '1';
 }
 else {
if (!isset($_SESSION['logowanie'])){
 $_SESSION['logowanie'] = '0';
 }
 }
if (isset($_SESSION['logowanie']) and ($_SESSION['logowanie'] == 1)){
header ('location: strona.php');
}
else {
echo 'Blad logowania!';
}
?>
[PHP] pobierz, plaintext 

Absolutnie nie jest.
Wystarczy że ktoś wklepie ręcznie adres strona.php - i już ma dostęp.
Użyj include, albo require.

Jeśli ma być to do zabawy typu hackme to oceniam to 3/10 punktów
w sesji lepiej przechowywać md5(hasło);

czy byscie mogli napisac go mi poprawne zeby nie bylo nic do przejscia ?

a w plikach strona.php dalem ze gdy nie wpisze poprawnego hasla i loginu to cookie sie nie zapisuje i gdy wejdzie na strona.php to przekierowuje go na index.php spowrotem

[PHP] pobierz, plaintext 
<?php
session_start();
if (isset($_SESSION['logowanie']) and ($_SESSION['logowanie'] == 1)){
//kod strony
}
else {
header ('location: index.php');
}
?>
[PHP] pobierz, plaintext 

Raczej nikt ci tutaj nie napisze gotowego skryptu. [to tylko żeby nie było zbyt oftopicznie ]
A dlaczego w sesji hasło powinno być w md5 ?
Przecież sesja jest po stronie serwera i chyba tylko print_r($_SESSION) można podejrzeć jej zawartość.