Moin,

Nur, wenn sie es irgendwie schaffen, entsprechenden PHP-Code auf dem Server auszuführen.

Ertsmal danke für diese Info. Damit rechne ich vorerst nicht.

Genausowenig solltest Du allerdings Passwörter in einer Session hinterlegen - wozu? Du prüfst an genau EINER Stelle (bzw. durch genau EINE Funktion, die Du dann an den benötigten Stellen aufrufen kannst), ob eine gegebene Benutzer-Passwort-Kombination korrekt ist und merkst Dir dann in der Session, dass Benutzer "Sowieso" eingeloggt ist. Wozu brauchst Du dann anschließend dessen Passwort in der Session?

Das wusste ich nicht, ich habe es in der Tat anders. Ich prüfe bei jedem Seitenaufbau die Kombination. Dachte, dann kann man eine "User sowieso ist eingeloggt"-Variable nicht unterjubeln. Ist vielleicht echt Quatsch.
Also Du meinst, ich soll die Prüfung EINMAL ausführen?

Das Problem, dass ich jetzt gerade habe:
Es gibt einen Seitenlogin, der für viele Dinge fungiert. Außerdem gibt es ein Forum. Wenn man dort einen Beitrag schreiben will, was man auch als Gast kann (!), kann man sich auch entscheiden, es mit seinem Login zu machen. Dieser soll geprüft werden, auf die korrekte Ben-Pass-Kombination, _und_ der Seitenlogin soll _nicht_ anspringen! Weil ich davon ausgehen möchte, dass der Nutzer sich nicht anmelden will, sondern nur ein Beitrag unter seinem Namen schreiben möchte. Wenn im Formular jetzt ein fehlerhaftes Feld ist, wird das Formular erneut aufgebaut, alle Felder werden mittels $_POST bestückt. Wenn die Ben-Pass-Kombi schon verifiziert wurde, soll sie das natürlich bleiben. Daher der Hidden-Field-Gedanke.
Ich werde jetzt wahrscheinlich temporäre $_SESSION-Var. definieren. Wie gesagt, der globale Login soll nicht anspringen, das hatte ich schon realisiert.

Vielen dank, wer sich das ganze Zeug durchgelesen hat.
Und Danke an EKKi