Hallo,

header("location: user_online.php?".SID."&name=".$_POST['name']);

durch SID gibst Du die Session ID aus. Also ist es nur natürlich, daß sie auch zu sehen ist. Allerdings muß ich monieren, daß Du Dich nicht an den Standard hälst. Der Header Location nat immer einen URI _mit_ Protokoll, Domain und Pfad als Angabe.

header('Location: ../fehler.php?fehler=4');

Das gleich gilt hier also auch.

kann ich das irgendwie verhindern?

Du könntest zumindes die Sichtbarkeit in der Adresszeile verhindern, indem Du Sessions nur über Cookies speicherst.

Gruß aus Berlin!
eddi

--
PHP: PHP unter Linux installieren, in Bearbeitung PHP Konfigurieren