Hallo,

Ich identifiziere den Benutzer ja durch die Session-ID indem ich diese aus der Datenbank hole. Eingetragen wurde die ID ja in der login-php, genauso wie auch die Variable login_success=true in der Session registriert wird wenn der Benutzername & Kennwort korrekt sind.
Ich brauche ja auch keinen Benutzer korrekt identifizieren, die Seite muss nur "wissen" ob es sich um einen Admin handelt oder nicht.

Das verstehe ich jetzt nicht ganz. Wenn der Client überhaupt kein Identifikationsmerkmal an den Server sendet, woher weiß der Server, dass da überhaupt eine Session vorhanden ist?

Beim Webspace komme ich nicht in den geschützten Bereich, da die Variable login_sucess scheinbar nicht auf true gesetzt wird...

register_globals off?

Grüße,

Christian