Hallo,

So kann ich sämtliche php Files über isset ($HTTP_SESSION_VARS[xxx]) schützen.

Du solltest besser $_SESSION['xxx'] verwenden.

Doch was mach ich zB mit Bilder, Dokumenten etc?

Statt die Bilder u.s.w. direkt vom Webserver ausgeben zu lassen,
solltest Du sie in ein geschuetztes Verzeichnis stellen, wo
der Webserver sie nicht ausliefert, und sie mit einem
PHP-Skript "durchschleusen".

Das heisst, die "URL" zeigt auf ein PHP-Skript und
enthaelt den Pfad zum Dokument oder dessen Dateiname
als Parameter.

Im PHP-Skript pruefst Du
1. ob der Benutzer berechtigt ist
2. ob der Pfad in Ordnung ist (bzw. ergaenzt Du
   den Pfad - Sicherheit beachten!)

Dann schickst Du mit header() den richtigen Content-Type
und danach mit readfile() den Inhalt der Datei.

Siehe auch </archiv/>, z.B.
</archiv/2003/11/62399/>
</archiv/2003/11/63283/>

Meine Idee ist, über die .htaccess zu prüfen ob $HTTP_SESSION_VARS[xxx]) vorhanden, wenn nicht, den Zugang zu sperren.
Ist das möglich?

AFAIK nein.
.htaccess ist keine Programmiersprache ;-)

Gruesse,

Thomas