No soy un experto en seguridad ni mucho menos, pero delegar la seguridad en JavaScript no es lo adecuado, que sucede si el usuario tiene desactivado el JS?
Para empezar debes de impedir que el php se ejecute si no está logueado.
Código PHP:
Ver original<?php
if(!isset($_SESSION["user_username"]) || $_SESSION["user_username"]==null && $Estado == "I"){ print "<script>alert(\"Acceso invalido!\");window.location='index.html';</script>";
exit; //Finaliza el script }
?>