Ihr habt ja Recht - deshalb auch der Smilie.

Aber ich wollte das Script so einfach wie möglich halten und auf das Wesentliche reduzieren.

Sonst:

Ich halte es mit pl: keine $_GET- und $_POST-Parameter direkt für Zugriffe verwenden - wenn es sich vermeiden lässt. Also in diesem Fall eine Liste mit expliziter Zuordnung führen und pflegen.

Ob man eine Session oder nur eine Anmeldung über Cookies verwenden will, hängt vom Einzelfall ab, und ist auch "Geschmackssache". In jedem Fall wäre das aber ein komplett neues Fass.

Eine Anleitung zum Session-Handling gibt es hier.

Viele Grüße

Wilfried