Кто что насчет этого думает?
Я не очень большой специалист в PHP, но у меня не возникло впечатление, что так можно его поломать. Прежде чем все эти данные дойдут до скрипта (не говоря уже о неверном адресе, попросту говоря, не тот submit.php имеется в виду), им надо пройти auth.inc.php, в котором, как у того дубля Стругацких, одна функция - запросить пароль, закриптовать его и сравнить с записанным эталоном. Повторяю - я не специалист, но, ИМХО, любые попытки дойти до submit.php наткнутся на эту преграду.
Если я неправ, то все равно закрыть эту дыру труда не составляет - директорию admin закрыть .htaccess`ом займет ровно три минуты.
Страницы делаются очень просто- в админском меню выбираешь опцию blocks/pages, ставишь отметку, что это будет страница и даешь ей title. После чего она доступна по адресу
http://www.yourserver.com/pages.php?page=title. Если title на русском, значит, в урле пишешь на русском.
И еще как сами пункты добавлять?
Я вместо нее (насколько знаю, и NAS тоже) прописал нужное мне меню.
Понятно? Просто тупо вместо $navigation прописываешь html для меню.