Hi Tom,

ein paar Anmerkungen, die mir spontan einfallen.

Es ist sessionbasiert und nicht requestbasiert, da die Authentifizierung nur einmal beim Eröffnen der Session vorgenommen wird. Das bedeutet auch, dass der Administrator einem User während seiner Session keine neuen Rechte zuweisen kann und ihn auch nicht rausschmeißen kann, ganz umständliche Varianten mal außer Aht gelassen.

Warum sollte das so sein?
Neue Rechte=umständlich könnt ich noch nachvollziehen, aber rausschmeißen? Ist ganz easy. ;-)

// Query
  $sql1 = "SELECT ìd, rights FROM logintable ".
          "WHERE uname  = '" .

Hier würde ich ganz grundsätzlich casesensitiv arbeiten (Stichwort BINARY)

Und zu guter Letzt: Wie möchtest Du denn Username und Passwort von Seite zu Seite mitschleppen, wenn nicht über eine Session? Per Post oder Get?

Na, ich weiß nicht. Und über Session, dann kannst Du auch gleich den Login-Status übergeben.

Grüße, Jürgen