Hello,

gucken ob der User mit dem PW in der MySQL DB existiert
falls ja ne Session starten mit 3 $_SESSION Variablen

Die Existenz der Session sollte nicht das Kriterium für den Zugriff bilden.
Die Session sollte man als erstes starten.
Innerhalb der Session kann der User dann um Zugang nachfragen.
Die Session sollte man mit einem transienten Cookie führen.
Nach der Zugangserteilung kann man ggf. zusätzlich noch einen permanenten Cookie verschicken.

Die Zugangsberechtigung sollte _bei_ _jedem_ _Zugriff_ geprüft werden. Nur das ermöglicht eine zeitnahe Rechteüberwachung.

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau