Hi,

was passiert, wenn man zeigmehr/nochmehr.php direkt aufruft?
Ja eben, momentan ist sie aufrufbar, wenn auch nur innerhalb der Session-login-geschützten Seite.

D.h., zeigmehr/nochmehr.php selbst ist vor Aufrufen geschützt, Ja oder Nein?
Deine Beschreibung klang bisher mehr nach nein.

Eine Alternative wäre es, über Sessions zu prüfen, ob man eingeloggt ist oder nicht. Wenn nein, dann Login-Maske und diese Routine muss in jedes zu schützendes PHP.

Genau so läuft es,

Wo ist dann das Problem?

weil ich aber in einem unterordner bin, müsste ich die relativen Pfade anpassen, dass es für den Unterordner geht genau wie für den drüberliegenden.

Nein, musst du natürlich nicht.
Includen von Dateien geht bspw. auch in Bezug auf DOCUMENT_ROOT.

So dachte ich das mit dem Header("Location:") wäre vielleicht das Praktikabelste, zumal wie gesagt auf diese Seite sowieso nur "böswillige" kommen könnten, denn die User kommen an die Links zum Formmailer auch jetzt schon nur über die Session-login-page.

Was heisst, sie "kommen an die Links"?
Wenn der einzige "Schutz" darin besteht, dass die Adresse vermeintlich nicht bekannt ist, dann besteht also momentan *gar* *kein* Schutz.

MfG ChrisB