Dann beschreib mal bitte detailierter, was du erreichen willst, und wieso.

Das ist so:
Wenn jemand meine Seite öffnen will / öffnet, dann soll er sich bei einer anderen Seite einloggen. Auf diese Seite, auf der man sich einloggen kann/soll, habe ich keinen Einfluss. Ich kann also nicht in eine Datenbank schauen, ob er dort eingeloggt ist.
Ich kann nur anhand der URL erkennen, ob der User dort eingeloggt ist, oder nicht.
ausgeloggter Zustand: login.php
eingeloggter Zustand: index.php
Ruft man die index.php auf, und ist nicht eingeloggt, so wird man zu login.php weitergeleitet.

Und nur, wenn er dort eingeloggt ist, soll er Zugriff auf meine Seite (in dem zweiten iFrame) bekommen. Das ist also ein Zugriffsschutz, ohne eigenem Login-System.
Auf meiner Seite sind keine Top-Secret-Daten, weswegen ich kein eigenes Login-System brauche / haben möchte, doch es soll nicht jeder Hans-Franz, der im I-Net unterwegs ist, diese Daten sehen können.
Und wenn ein Hacker meint meine Seite hacken zu müssen, dann muss er mich schon für sehr wichtig halten.

Wo ich das hier gerade schreibe, fällt mir auf, dass es doch nicht unbedingt etwas mit der Session-ID zu tun hat.

MfG, Matthias