Ich verusche gerade nach einem veralteten Tutorial einen Adminbereich mit sessions zu schreiben.....:(

Aber es stimmt was nicht:

Alles funktioniert mit dem Login, selbst bei einem falschen passwort, aber wenn ich mich mit keinem username und keinem PW anmelde, loggt er sich ein... scheinbar funktioniert die Überprüfung nicht...:(

Also:

Index.htm
<html>
<head>
</head>
<body bdcolor="white">
<form method="post" action="validate.php">
Login<br><input type="text" name="user" size="20" maxlength="20">
Passwort<br><input type="password" name="pass">
<input type="submit" value="Login!">
</form>
</body>
</html>

validate.php
<?php
session_start();
if ((!isset($HTTP_POST_VARS["user"])) or (!isset($HTTP_POST_VARS["pass"])))
{
die("Ungültige Userdaten eingegeben!");
}
include("connect.inc.php");
$result = mysql_query("select pass,level from admin_cp_usr where user='".$user."'");
$zeile = mysql_fetch_array($result);
if(!$result)
{
die("Username nicht bekannt");
}
if($zeile["pass"] != $http_POSTVARS["pass"])
{
die("Falsches Passwort angegeben");
}
$user = $zeile["user"];
$level = $zeile["level"];
session_register('user');
session_register('level');
header("Location:admin.php");
?>

logout.php
<?php
session_start();
if(!session_is_registered('user'))
{
die("Bitte loggen sie sich zuerst ein");
}
echo "Willkommen ".$user." mit Userlevel ".$level;
?>
<a href="logout.php">[Logout]</a>

connect.inc.php funktioniert, die habe ich schon auf anderenSeiten verwendet....

was ist falsch?