Das EVA-Prinzip? Grundgütiger, hat die mit dem Apfel nicht schon genug... egal.

Bei PHP bleibt mir nix anderes übrig, als nach dem EVA-Prinzip zu verfahren, oder? Der Nutzer sendet seine Eingaben per "submit" an den Server, der schaut sich alles an und wenn die Eingaben sinnvoll und schlüssig sind, sendet er (hoffentlich) die richtige Webseite an den Nutzer zurück. Wie soll das anders gehen? Siehe auch meine Antwort auf Raketenwillis Beitrag.

Die Anweisung "header(...)" hat keine Rückgabe - wo darf ich denn was erwarten?

Im Moment bin ich bei den Sessions und Session-Cookies. Noch funktioniert's nicht richtig: Wenn der Nutzer den Browser schließt, sollte das session-Cookie gelöscht sein. Wenn er - oder sie - den Browser wieder öffnet (bei mir werden die Tabs Weieder hergestellt), sollte die Webseite prüfen, ob der Nutzer eingeloggt ist. Ist er nicht! Also sollte auf die Anmeldeseite verzweigt werden, das aber funktioniert tatsächlich nur mit 'nem meta-Eintrag "redirect usw.". Javascript tut's einfach nicht: "location-href macht's nicht, location.replace() auch nicht. Naja, kleines Problem.

Beim Prüfen der Session muss ich die PHPSESSIONID mit einbeziehen, oder? Also die Zuordnung Session-Id zu Nutzername/-Passwort.

Wenn das funktioniert, kommt das Sichern der Passwörter dran. Da muss ich nch einiges lesen. Ich habe zwar ein ziemlich dickes Buch hier liegen - PHP 7 und MySQL, bin da aber erst auf Seite 300 oder so von etwa Tausend. Aber es gibt ja auch php.net und andere, die teils wirklich gutes Zeug verfassen. php.net ist für mich oft schwierig zu verstehen, da sie 100tsd andere Sachen mit einbeziehen, die die Hinweise zwar vervollständigen, aber den Anfänger ziemlich verwirren. Und vor den "Kontext"-Geschichten graut mir noch etwas, ich muss erstmal verstehen, was damit eigentlich gemeint ist.

Selbstverständlich Danke für deinen Beitrag, wie du siehst, bleibe ich dran, wird nur etwas dauern.