Hallo,

ich habe ein Session-Login-System,[..]

Bei Sessions verwende ich Cookies. Jede Seite, die nur in einer Session funktionieren soll (und darf) prüft ob die Session gültig ist.

Eine Session ist gültig, wenn der key im cookie (local) mit dem key in der DB (serverseitig) übereinstimmt.

Wenn es ein solches Schlüsselpaar nicht gibt, sende einen redirectionheader auf die Loginseite. Ansonsten mach eine Redirection auf die Anwendung. In letzteren RedirectionHeader musst Du den Cookie einbauen, sonst ist die Session futsch.

Viele Grüße,
Horst