NO uses el valor directo del post sin sanitizar, te van a hacer un sql inyection marca acme.
Código PHP:
<?php
//Verificamos que las variables contengan datos
if (isset($_POST["usuario"]),$_POST["clave"]){
//conexion con el servidor
include("conexion.php");
//Limpiar datos para evitar SQL Inyection
$usuario=mysql_real_escape_string($_POST["usuario"]);
$clave=mysql_real_escape_string($_POST["clave"]);
//consultamos la información
$rst_usuarios=mysql_query("SELECT * FROM usuarios WHERE urslogin='".$usuario."' AND usrclave='".$clave."'", $conexion);
//Contamos cantidad de resultados
$num_registros=mysql_num_rows($rst_usuarios);
if($num_registros==1){
//mostrar pagina del menu
header("location:menu.php");}
else{echo "El usuario o la contraseña no es valido";}
mysql_close($conexion);
}
?>
Ademas, cuando alguien pone un usuario y clave valido la aplicación redirige a menu.php
Cualquiera por prueba y error encontraría el nombre, carga el menu y ya esta en la zona supuestamente protegida.
Acá podes leer un tutorial bastante sencillo
[URL="http://www.desarrolloweb.com/manuales/37/"]http://www.desarrolloweb.com/manuales/37/[/URL]