Camran, to co próbujesz zrobić to standardowy sposób na utrzymanie sesji php. W rzeczywistości nie przechowujesz hasła w sesji, a jedynie przechowujesz informacje, że ten konkretny użytkownik już się zalogował.$_SESSION['pass_ok']='1';
Na każdej stronie wystarczy wykonać session_start() i sprawdzanie tej sesji jest już ustawione na 1, jeśli tak, zakładają, że jest zalogowany i kontynuują, w przeciwnym razie przekieruj do strony logowania.
Jeśli ktoś uzyska identyfikator sesji, z pewnością może uzyskać dostęp do sesji użytkownika. Możesz zrobić kilka rzeczy, aby uczynić go bezpieczniejszym.
- Użyj SSL (https), utrudni to podsłuchiwanie danych i uzyskanie identyfikatora sesji
- utrzymaj adres IP klienta w sesji, gdy użytkownik się loguje, dla każdego żądania po zalogowaniu sprawdź, czy żądania pochodzą z tego samego adresu IP
- Ustaw krótki czas oczekiwania na sesję, aby w przypadku bezczynności przez chwilę sesja wygasała automatycznie.
