Es mas seguro como te dicen que no tengas los globales en ON....y de hecho he leido por ahi algo sobre seguridad y recomiendan que antes de hacer el GET pongas:
$opcion=0;
Para poner aun mas complicado el que te entren con algo parecido a esto:
user.php?opcion=1
Ya que en cuanto accedan a user.php el script le asigna un 0 a opcion...lo que complica que se salten el script de validacion...
No hay mucho mas que agregar