Ahoi Tom,

deshalb hab ich als auch ein $_SESSION['login'] und $_SESSION['user_id']

ich glaube wir reden aneinander vorbei, ich habe eine login.php. dort
wird bei übereinstimmung der daten $_SESSION['login'] und
$_SESSION['user_id'] entsprechend gesetzt. die user_id hab ich ja da
ich in der DB war und nach pwd und benutznamen überneinstimmung
gesucht habe. auf jeder folge seite habe ich nun eine funktion welche
überprüft ob $_SESSION['login'] existiert und true ist. wenn nicht
wird auf die loginseite weitergeleitet und das script mit die;
beendet. ansonsten ist der user schonmal eingeloogt, nun will ich
natürlich wissen wer das ist und ob er das benötigte recht hat dieses
script aufzurufen, das machst diese funktion ebenfalls. diese nimmt
die user_id und schaut in der DB nach ob der user gespeert ist, wenn
nicht ob er das recht hat und sollte er gespert sein gibts ein
session_destroy(); die; und wenn er das recht nicht hat kommt er auf
die main-page. deshalb eben die user_id und eingeloggt. in die tabelle
noch ein status alla last_action zu machen ist ja kein hexenwerk.
außerdem hab ich dann ja die user_id und so kann man das recht leicht
bewerkstelligen das der user sein pwd ändern kann, und zwar nur seins.

MfG