was hält mich davon ab im user-Unterordner nach Dateien zu suchen und mir diese anzuschauen(downzuloaden) ?
die index.htm/index.php !

naja schon, aber wenn du den direkten pfad zu /user/geheime-datei kennst kommste ja nu trotzdem dran...

Mächte für mich nur sinn, wenn "user/" nicht public wär
was ist public ?

public heißt im allgemeinen "für jeden zugänglich" s.o.
versuchen kannste ja mal auf das user-verzeichnis per ftp auf 700 zu chmodden (also "nicht mehr public" machen, public ist meistens 750 oder für dateien 740)
meistens hast du dann vom web aus keinen zugriff mehr auf /user aber von lokalen skripten schon

wozu steht in der seite2.php genau das selbe drin? vor allem session_start() etc..
damit habe ich gerechnet dass die frage kommt ! geht es oder geht es so nicht ? wenn einer die seite2.php als erstes aufruft, soll er doch auch abgefragt werden, oder nicht !
für die Folgeseiten sollte es ein Include geben, welches die Loginseite aufruft, wenn die Session-Variablen nicht gesetzt sind...
wie geht das ?

du schreibst einfach eine datei mit php-code (mit php-tags, sonst wirds nix) und gibst dann in seite2 ganz oben require_once "datei.php"; ein und schon tut php so als ob der inhalt von datei.php genau da stehen würde wo das require-statement steht