Holladiewaldfee,

also das hat mich jetzt etwas stutzig gemacht, weil die Session solange aktiv bleibt bis ich session_destroy() aufrufe.

Jein. Nach einer gewissen Zeitspanne der Inaktivität (30min?) macht die Session von selbst 'nen Abgang. Außerdem vergisst der Browser im Normalfall die SessionID, wenn seine eigene "Session" vorbei ist.

Und den Cookie wollte ich ohne Zeitangabe setzten. Aber ich bin auf dem Gebiet eher Neuling.

Ist zwar für JavaScript, aber Du kannst hier trotzdem was über Cookies lernen:
http://selfhtml.teamone.de/javascript/objekte/document.htm#cookie

Und ich hab noch eine Frage: Was ist eine XOR Verschlüsselung, bei Google hab ich keine Tutorials oder sonst was gefunden.

XOR ist das binäre exklusive "Oder".

Beispiel:

10010110     [1]
   XOR 01001100     [2]
       --------
     = 00100101     [3]

Wenn Du nun auf [3] wieder XOR [2] anwendest erhältst Du wieder [1]

00100101     [3]
   XOR 01001100     [2]
       --------
     = 10010110     [1]

Und so funktioniert das mit jedem Zeichen (hier mal davon ausgegangen, daß Du 8-Bit-Zeichen verwendest). Hier ist [1] der zu verschlüsselnde Wert, [2] der Einmalschlüssel und [3] das verschlüsselte Ergebnis. Ohne Kenntnis von [2] ist es nicht möglich, aus [3] [1] zu gewinnen.

Ciao,

Harry