was passiert, wenn man zeigmehr/nochmehr.php direkt aufruft?
Ja eben, momentan ist sie aufrufbar, wenn auch nur innerhalb der Session-login-geschützten Seite.

D.h., zeigmehr/nochmehr.php selbst ist vor Aufrufen geschützt, Ja oder Nein?

Nein.

Eine Alternative wäre es, über Sessions zu prüfen, ob man eingeloggt ist oder nicht. Wenn nein, dann Login-Maske und diese Routine muss in jedes zu schützendes PHP.

Genau so läuft es,

In dem übergeordneten Verzeichnis zeigwas.php (wenn logged in).

Wo ist dann das Problem?

weil ich aber in einem unterordner bin, müsste ich die relativen Pfade anpassen, dass es für den Unterordner geht genau wie für den drüberliegenden.

Nein, musst du natürlich nicht.
Includen von Dateien geht bspw. auch in Bezug auf DOCUMENT_ROOT.

Ja, dann bin ich aber im zeigmehr-Verzeichnis. Müsste ich den link bzw. das action-attribut im Loginscript auf /zeigwas.php (mit starting slash) definieren, statt auf zeigwas.php, weil es ja im directory zeigmehr/ keine zeigwas.php gibt. Das wäre eine Lösung.

So dachte ich das mit dem Header("Location:") wäre vielleicht das Praktikabelste, zumal wie gesagt auf diese Seite sowieso nur "böswillige" kommen könnten, denn die User kommen an die Links zum Formmailer auch jetzt schon nur über die Session-login-page.

Was heisst, sie "kommen an die Links"?
Wenn der einzige "Schutz" darin besteht, dass die Adresse vermeintlich nicht bekannt ist, dann besteht also momentan *gar* *kein* Schutz.

Genau.