Ok, antes ya puse toda la explicacion acerca de seguridad, y el hueco que provoca interpretar variables de session como parametros de URL o post, es exactamente lo mismo el problema, yo recomende abajo directamente el redireccionamiento para INICIALIZAR variables de session en ambos lenguajes, porque tambien pienso que no es posible tener dos lenguajes en el mismo script, pero bueno, es posible que si se de el caso, no lo se, recuerda que lo que esta entre <% %> es interpretado por el ASP, y el resto por el HTML, entonces ahi son dos interpretes en el mismo codigo, es posible, no lo se si exista, que tambien se pueda mezclar <? ?> que seria php.

Pero bueno, mira este caso que puse abajo

pagina1.php ---> POR POST para el parametro de user hacia privado

y en

privado.asp

if request.form("user") > "" then
//tienes acceso
else
//no tienes acceso

Esto que te provoca ??? facil, cualquier persona puede hacer una pagina local con un form asi:

<form actio="http://www.TU_SERVIDOR.com/privado.asp" method="post">
//Campo de user
</form>

Eso, que provoca, que sin autentificacion alguna cualquier persona tenga acceso a la pagina, y sucede lo mismo con URL etc.

Eso es seguridad, en session existen datos personales y datos privados para el funcionamiento de la pagina personalizada a tu cliente, entonces ninguna pagina puede decir cosas como:

"Si recibo esta variables (que deberia estar en session) por la URL entonces todo es correcto" --> Esa idea esta mal

No puedes tratar esas varibles como si fueran de session por parametros, es una falla.

Aplicalo con una pagina tuya por ejemplo, simplemente los sistemas de banners que se basan en el pais, estado y ciudad del usuario actual, que pasa si en lugar de Session utilizas valores de url, cualquier persona puede ver todos tus banners de cualquier pais, etc.