Eine Weitergabe über $_GET oder $_POST ist immer eine Sicherheitslücke.
Sessions (mit $_SESSION) sind genau hierfür gedacht.

Nun habe ich aber das Problem ... was ist wenn meine Session expired ist ... wie teile ich das dann meinem LoginScript mit ?

Ich mein ich kann schlecht eine Session Variable weitergeben wenn keine Session exisitiert - oder habe ich einen Denkfehler ?