CGVictor:
а если уничтожать сессию, то при обращении к скрипту авторизации браузер снова передает $PHP_AUTH_USER и PW.
Хе хе.
Вот этот забавный момент за всеми ляпами остался мной незамечаенным.
То есть, чувачок прилепил свой код в виде заплатки к некоей готовой НТТР авторизации.
И пихает из сессии в серверные переменные логин и пароль, как будто они пришли при авторизации.
Больше ничем эту цитату объяснить нельзя.
Разве что, некими телепатическими способностями браузера, который самостоятельно узнаёт, когда нашему другу нужен пароль
Не, я, все-таки, сейчас с него уписаюсь :-)