Hello,

warum nicht $_SESSION["login"]=true;?

Weil die Überprüfung dann nur zu Beginn der Session stattfinden würde, und nicht dynamisch mit jedem Request. Hier sollte daher man einen indirekten Aufruf setzen, also z.B. die Sessionnummer nehmen, und in einer DB nachschauen, ob sie noch berechtigt ist und welche Berechtigungen für den User vorliegen.

Wenn man das bei jedem Zugriff macht, hat man auch gleich das beliebte "Wer ist Online?" erledigt.

Update LOGIN
set lastclick = now()
where session\_nr = '$session_nr' and
      now() - lastclick > $maxtime and
      enabled = 1

oder so ähnlich

Und wenn das Update erfolgreich war, ist der User noch angemeldet, die Session ist noch gültig und man kann nun aus der Usertabelle die aktuellen Rechte für da jeweilige Script (oder Include) heraussuchen.

So baut man sich schnell eine Userverwaltung für komplexeste Anwendungen auf.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom