Vielen Dank für die Antworten. Ich werde mir die Ratschläge in Bezug auf Sicherheit und Ressourcen zu Herzen nehmen.

Ich bin nur nicht sicher, ob diese Möglichkeit vom Benutzerkonzept her sinnig ist, was aber natürlich auch vom Einzelfall abhängt.

»»

Das stimmt. Habe mich jetzt doch entschieden, die Logins gleichwertig zu behandeln. Ich hoffe das meintest Du.

Vielen Dank auch für die Erklärung mit dem Sessionprinzip. Aber da habe ich nochmal eine Frage. Ich habe zwei Seiten, auf unterschiedlichen Servern, mit, so sieht es aus, unterschiedlichen Einstellungen. Bei A muss ich an jeden (!) Link mittels strip_tags (SID) die Session ID ranhängen, für den Fall, dass der User keine Cookies akzeptiert. Tut er dies, bleibt die Var. strip_tags (SID) leer und der
Browser schickt den Identifikator irgendwie anders. Bei Server B muss ich die Session-Id niemals an einen Link ranhängen, auch nicht, wenn ich Cookies ablehne.
Frage: welche Servereinstellung ist für dieses Verhalten verantwortlich?
Und wie kann ich folgendes verhindern: Ein User logt sich bei mir ein, ich speichere die Loginzeit. Er setzt einen Link in den Lesezeichen. Er vergisst sich auszuloggen. Geht er nächsten Tag über diesen Link rein, ist er angemeldet, obwohl die Session längst abgelaufen sein müsste. Eine neue Loginzeit bekomme ich nicht erfasst. Das ist doof für meine Forumsfunktion: Beiträge seit dem letzten Login. Oder für anderes. Warum wird das Sessiontimeout auf diese Weise für den Nutzer umgangen?

Vielen Dank an dieses SupertolleForum im vorraus.

LSpreeee