Moin,

Wenn ich das Ding ganz an den Anfang setze, geht's:

Dann wird wohl irgendwo schon was ausgegeben – du solltest dich mit dem EVA-Prinzip beschäftigen: jegliche Ausgaben dürfen erst stattfinden wenn die Verarbeitung der Daten fertig ist und damit z.B. feststeht ob zu einer anderen Seite weitergeleitet werden muss oder nicht.

Passwörter: Interssiert keine, das ist alles noch Testphase, die PWs sind "raupe", "anne" und so schwierige Wörter. alles nur Test.

Trotzdem solltest du es gleich richtig machen und password_hash() bzw. password_verify() verwenden.

Mit "Sicherheit" habe ich mich vermutlich noch nicht ausreichend befasst, schütze das vor Hackereingaben (diese Seite ist tief vergraben auf dem Server) lediglich mit

htmlspecialchars($_POST);

Das reicht nicht. Beschäftige dich mit dem Thema Kontextwechsel und wie sie korrekt behandelt werden.

Gruß
Tobias