Das Problem dabei ist, dass für die Rechteprüfung $_SESSION benötigt wird, also session_start() aufgerufen werden muss. Wenn ich danach die Funktion header() aufrufe, bekomme ich auf vielen Systemen den üblichen "headers already sent"-Fehler. Gibt es eine Konstruktion, mit der ich das umgehen kann?

Ich hab das mal umgangen mit

ob_start();  
//hier session+header  
ob_end_flush();