Originariamente inviato da Kai Hansen
Ecco cosa mi sfuggiva!!!
Però, per esempio in un ipotetico login la struttura è:

1) prendo dati $_post
2) query sul DB
3) se OK creo session

in questo caso prima della session ci sono per forza altre operazioni da fare...
Puoi farle, a patto che ognuna di queste operazioni non dia alcun output del documento HTML generato, cioè nessun echo, print, print_r etc.

Ti consiglio però di non legare l'autenticazione alla presenza della sessione, ma ad una variabile contenuta in essa, di cui stabilisci l'unset() in caso di determinati eventi (ad es. timeout, logoff, apertura pagine esterne all'area login...).