Hallo Ulf,

soll ja nur füs archiv gemeint sein, nicht das ich hier ein script poste das so aussieht als ob es das ist von was wir hier die ganzezeit schwätzen und dann sind da genau die fehler drin die man nicht machen sollte und alle denken es wäre richtig so und wenden es an und hacker kommen doch durch.

mit sessions hab ich noch nicht gearbeitet, weil ich solche sachen sowieso nur local entwickle. davon wurde noch nichts in einer produktiv-umgebung eingesetzt.

ich würde auf den einsatz von cookies verzichten und die session-id in einem hidden-field übergeben.
_zuerst_ muss eine gültige session angelegt werden, damit die bild.php später ihre kombination darin speichern kann.
dann muss das formular mit der session-id ausgeliefert werden, was den aufruf der bild.php bewirkt.
es sollte nur bei einem aufruf der action-php ohne gültige session-id eine neue session gestartet werden.
es muss sichergestellt werden, das wärend des forganges die vorhandene session benutz und nicht eine neue angelegt wird.
probier es einfach mal aus und lass dir dabei dir variablen mit anzeigen.
und dann poste den code hier nochmal, damit wir alle zusammen nach eventuellen fehlern suchen können. viele augen sehen mehr ... ;-)

freundl. Grüße aus Berlin, Raik