Hallo Katrin,

Oder reicht das schon, um das nachtraegliche Aufrufen auch zu verhindern, wenn der User sich nicht richtig ausgeloggt hat?

Ich denke schon, dass ein sicherheitsbewusster Benutzer der Seite sich korrekt ausloggt. Wenn nicht, hat er halt Pech. Es ist genauso mit .htaccess-Authorisierung. Schließt ein Benutzer nach seinem Besuch auf einer so geschützten Seite den Browser nicht und verlässt seinen PC, ist es für jedermann möglich, die Passwort-geschützten Seiten wieder aufzurufen.
Wenn er sich korrekt ausloggt - kein Problem: Die Session ist zerstört, die Seiten also nicht mehr aufrufbar. Versuch es doch einfach mal: Log Dich aus und gehe mit dem Back-Button auf die vorige Seite zurück - der Browser sollte meckern und es sollte ein Fehler-Meldung à la "Diese Seite ist nicht mehr gültig" erscheinen.
Willst Du das Zurückspringen auf vorher besuchte Seiten verhindern, müsstest Du im übrigen dann noch den "Back"-Knopf des Browsers abfangen - und hier wirst Du ein echtes Problem bekommen. Aber keine Angst, Sessions sind u.a. für so Fälle wie Deinen gemacht. Ein Zerstören der Session verhindert, vorher besucht Seiten einfach wieder aufzurufen.

LG ausm Hesseland
Lemmy

http://www.olison.com