Hallo,

[...] kann man das dann noch umgehen, d.h. über die URL?

Wie meinen?

Über die URL, also z.B. index.php?user=set&pass=set. Dann sind ja die Variablen $_GET['user'] und $_GET['pass'] gesetzt. Aber die $_SESSION-Variable lässt sich so (über GET oder anders) nicht setzen?

if ($_SESSION['user'] und $_SESSION['pass'])

du meinst AND bzw. && ?

Jepp.

Gruß
Lachgas