Nein, da machst Du das nur, wenn die Session nicht initialisiert war, *nicht* wenn die Privilegien erhöht werden. In dem Moment, in dem der User sich einloggt (d.h. die Passwortüberprüfung erfolgreich ist), *genau dann* muss session_regenerate_id() genutzt werden. Die Stelle, an der Du es verwendest, ist zwar nicht schädlich, aber auch nicht wirklich nützlich... (Wobei die Reihenfolge von den ganzen Session-Aufrufen an dieser Codestelle irgendwie seltsam ist... Was ist die Logik dahinter?)

*schäm* da hab ich ja so richtig was übersehn. Wegen der Reihenfolge hab ich mir da nicht wirklich Gedanken gemacht.

Das heißt es würde ja:

$_SESSION = array();  
session_regenerate_id();  
$_SESSION['server_SID'] = TRUE;

reichen oder?

MfG
Naps