n'abend,

Was mir unschlüssig ist, ist wie ich das ganze sicher machen kann.

Was verstehst du denn bitte unter "sicher machen"?

User und PW müssen weitergegeben werden von Dokument zu Dokument per Sessions.

Müssen sie das? hättest du dir den Artikel Sessionbasiertes Loginsystem _durchgelesen_, dann hättest du erkannt, dass der Autor des Artikels weder Benutzernamen noch Passwort in der Session speichert. Er merkt sich lediglich, dass der User eingeloggt ist. $_SESSION['angemeldet'] = true;

Ich verstehe nicht ganz wie ich das mache.
ICh starte die Session per session_start()..
mit $_SESSION["irgendwas"];
kann ich ihr was an Daten hinzufügen.

Dein Verständnisproblem liegt offenbar (erstmal noch nicht) bei "Loginsystem", sondern bei Sessions. Lies dich da mal genauer ein, was Sessions sind, wie bei Sessions Daten gespeichert werden, etc.

Diese verschlüssel ich vorher genauso wie sie in der Datenbank steht, das heißt mehrfachverschlüsselt mit Salts und vorher schon verschlüsselten Salts.

Und wenn du noch 30Kg Salz oben drauf wirfst und das ganze noch 20 Mal verschlüsselst, wird das ganze dann bombensicher? Wie zuvor gesagt: beschäftige dich erstmal mit den Grundsätzen: Sessions.

weiterhin schönen abend...