Hi,

danke für die Antworten.
Hatte erst in der zweiten Zeile zu schreiben begonnen. >.<

sowas hatte ich vermutet. Dann wird der Zeilenumbruch vor dem <?php schon als Nutzinhalt angesehen, der die Ausgabe der Header abschließt.

Ich würde noch gerne wissen, ob Sessions "sicher" sind oder ob es besser wäre bei jedem Login über einen Algorithmus eine eigene session-id zu berechnen und die jeweils per get zu übergeben.

Also Sessions nachzubauen? Nein, was du hier vorschlägst, ist genau das, was der Session-Mechanismus von PHP auch tut. Dabei wird die Session-ID entweder per Cookie übergeben, wenn der Client Cookies akzeptiert, oder alternativ als URL-Parameter.

Brauche das ganze für ein php-basierendes Browsergame und da sollten Accounthacks möglichst vermieden werden.

Ganz verhindern kannst du sie nie. Aber ehrlich gesagt: Ein GET-Parameter ist sicher einfacher zu "fälschen" als ein Cookie.

So long,
 Martin