mysql_real_escape_string() studiere ich gerade. Mein momentaner Infostand: bei Benutzung von mysql_real_escape_string() ist eine mysql-injection praktisch ausgeschlossen?

Dann erst recht: Nach erfolgreichem Login nicht wieder irgendwohin umleiten, sondern direkt unter derselben Adresse das Dokument ausliefern.

Missverständnis. Es wird nicht NACH einem Login umgeleitet, sondern nur dann, wenn man versucht über z.B. Bookmarks auf nicht-öffentliche Seiten zu gelangen. Ich möchte dies deutlicher beschreiben:
Ein Mitglied loggt sicht ein und surft nun im Mitgliederbereich, meinetwegen auf der Unterseite "angebote.php", auf welcher eben Angebote und Einkaufspreise angezeigt werden. Die Einkaufspreise dürfen aber nur registrierte User sehen, die sich eben vorher eingeloggt haben. Dieses Mitglied setzt nun ein Bookmark, also einen Link unter Favoriten auf genau diese Seite und loggt sich aus. Einen Tag später will es über diesen Bookmark auf diese Seite zugreifen (ohne eingeloggt zu sein). Und JETZT soll eine Umleitung auf die index.php (Startseite) stattfinden, wo sich das Loginmodul befindet.
Wenn ich das mit htaccess realisieren kann, wäre super und spart ne Menge Programmieraufwand.

Nicht direkt über HTTP. Ein PHP-Script, das seinerseits erreichbar ist, kann natürlich darauf zugreifen und sie dennoch ausliefrn.

So habe ich es mir auch vorgestellt. Sähe also so aus: z.B.
Ordner "domain" = DocumentRoot; Inhalt: index.html
Ordner "mitglieder" = kein Zugang über HTTP; Inhalt: angebot.php

Im Ordner "mitglieder" befindet sich eine htaccess-Datei, die also den Zugriff auf Dateien im gleichen Ordner verbietet und auf index.html umleitet, auch wenn darauf ein Bookmark gesetzt ist. Ist das im Prinzip so richtig?

Dank und Gruss
Thorsten