Edito: tenía un problema, pero edito, ahora me gustaría recibir sugerencias sobre cómo mejorar el script.
Le he añadido protección básica contra fijación de sesiones y cross site request forgeries.
Código
<?php { if ($_POST['user'] == 'carlos' && $_POST['password'] == 'entrar') { $_SESSION['logeado'] = true; } } else if ($_POST['logout']) { $_POST['token'] == $_SESSION['token']) { } } if ($_SESSION['logeado'] == true) { echo 'Contenido exlusivo' . '<br />'; } ?> <html> <body> <?php if ($_SESSION['logeado'] == false) { ?> <form method='POST' action='login.php'> User: <input name="user" type="text" maxlength="50" size="20" /> Password: <input name="password" type="text" maxlength="50" size="20" /> <input name="login" type="submit" value="Login" /> </form> <?php } else { ?> <form method='POST' action='login.php'> <input name="token" type="hidden" value="<?php echo $_SESSION['token']; ?>" /> <input name="logout" type="submit" value="Logout" /> </form> <?php } ?> </body> </html>