por ej tengo un formulario de ingreso con dos campos (nombre y pass): form.html

hice una pag php con un script para validar a un usuario y pass: pass.php

a la pag pass.php le puse un script para redireccionar a otra pagina que tiene un formulario (form2.html) que tiene que ser llenado por un solo usuario validado por clave y nombre.

funciona todo pero si alguien tipea el form2.html le va salir en el navegador y lo que hice no sirve de nada.

como puedo hacerlo??,.....un formulario que va a ser enviado a una base de datos mysql puede tener la extencion php? o el formulario tiene que siempre llevar la extencion html?
como protejo el formulario (form2.html) principal para que solo lo ocupe una persona.

gracias
gracias amigos