si el usuario corriente escribe eso aun asi no podra acceder porque no se ha autentificado, y cada vez que se carge la página en la url "insertar.php" va a ser redireccionarlo al index.php con un header("location..."); porque no ha puesto su nick y password.

por otro lado puedes esconder mas tu formulario pasandolo a traves de un require_once("insertar.php"); para incluirlo en una página en php que ya tenga previamente dicha validacion.