Hi Prof. Sakkkkarre

• die Session ID kann als Cookie gehalten, und per POST von Client zum
  Server gesendet werden. Du kannst aber auch die SID per GET (als mit
  "Fragenzeichenparameter" hinter der URI) zum Server schicken.

Ja genau, so mache ich es: Je nachdem, ob das Session-Cookie gesetzt werden konnte leite ich per location-header mit 2 Varianten "weiter".

Variante 1:

// Cookie konnte gesetzt werden  
header('location:' . $_SERVER['HTTP_REFERER']);

Variante 2:

// Cookie konnte nicht gesetzt werden  
header('location:' . $_SERVER['HTTP_REFERER'] . '?' . SID);

• Am wichtigsten ist, am Ende einer Session diese auf _explizit_ zu beenden!!!!!!

Du meinst also, ich soll auch nochmal (für den Fall, dass keine Cookies gespeichert werden können) die SID vom "geschützten Bereich" zur 'logout.php' per GET übergeben, damit die Session auch ordentlich abgeschlossen werden kann? Ist das mein Fehler?

Gruß