So ich bin jetzt eigentlich durch probieren schon ziemlich weit.
Danke für die guten Tipps.
Was mich noch interessieren würde: Wann verfällt eine Session von alleine? Wenn ein User sich einmal einloggt und eine Woche später wieder kommt dann ist die Session doch weg oder?

Und könnte mal jemand nachschauen ob das jetzt so ungefähr sicher ist?
--------------
login.htm
--------------
<html>
<body>
<form name="login" action="check.php" method="post">
  <input type="text" name="user">
  <input type="password" name="passwort">
  <input type="submit" name="submit">
</form>
</body>
</html>

--------------
check.php
--------------
<?
  session_start();
  $vUser=$_REQUEST['user'];
  $vPasswort=$_REQUEST['passwort'];
  if($vUser=="Gerhard"&&$vPasswort=="hallo")
  {
    $_SESSION["user"]=$vUser;
    $_SESSION["passwort"]=$vPasswort;
    header("Location: geheim.php");
  }
  else
  {
    echo "Falsche Angaben";
    session_destroy();
  }
?>

------------
geheim.php
------------
<?
  session_start();
  if(isset($_SESSION["user"])&&isset($_SESSION["passwort"]))
  {
    if($_SESSION["user"]=="Gerhard"&&$_SESSION["passwort"]=="hallo")
      echo "Erlaubt";
    else
      echo "access denied";
  }
  else
    echo "access denied";
?>

Danke nochmal
lg Gerhard