Ich bin jetzt soweit, dass es zumindest funktioniert.

Wenn der user ein richtiges Passwort mit dem dazugehörigem Namen eingegeben hat wird:
$_SESSION['auth']="erfolgreich";
gesetzt.

durch:
if(isset($_SESSION['auth'])) {
                             $login="fehlgeschlagen";
                             ...loginbereich ...
                             }

wird ihm dann Zugang gewährt.

Allerdings ist dieser Login dann auch sicher?
Ich weiß ja das $_SESSION['auth']="erfolgreich"; nur auf dem server liegt und der Client dadurch ihm diesen Wert nich vorgaukeln kann, aber gibt es andere Möglichkeiten den server zu "bescheissen"?

Sollte ich vielleicht $_SESSION['auth'] das Passwort zuweisen und dann nochmal in der if-Anweisung überprüfen ob es das richtige Passwort ist, oder ist das unnötig?