Nur stellt mich das direkt vor ein seltsames Problem. Wenn ich den Quelltext der login-Seite (.htm) auf meinem Rechner als Datei abspeichere, mit der SessionID als hidden field..., die Formaction anpasse(ist nicht absolut) und die Datei direkt auf meinem Computer aufrufe, dann bekomme ich bei einem Einlog-Versuch einen Fehler.

referer wohl kaum - was ist das für ein Trick?

Warum soll es nicht an dem Referrer liegen? Bei Formularverarbeitung ist es immer eine gute Idee, per HTTP_REFERER zu prüfen, von wo bzw. "welches" Formular abgesandt wurde.

Gruß,
  soenk.e