Camran, wat je probeert te doen is een standaard manier om php-sessies te onderhouden. Je slaat het wachtwoord eigenlijk niet op in de sessie, maar slaat alleen de informatie op dat deze bepaalde gebruiker al heeft ingelogd.$_SESSION['pass_ok']='1';
Op elke pagina moet je gewoon een session_start() doen en de controle van deze sessie is al ingesteld op 1, zo ja, dan gaan ze ervan uit dat hij is ingelogd en doorgaan, anders doorverwijzen naar de inlogpagina.
Als iemand de sessie-ID te pakken krijgt, hebben ze zeker toegang tot de gebruikerssessie. Je kunt een paar dingen doen om het veiliger te maken.
- Gebruik SSL (https), het zal moeilijk zijn om de gegevens op te snuiven en uw sessie-ID te krijgen
- handhaaf het IP-adres van de client in de sessie wanneer de gebruiker inlogt, controleer voor elk verzoek na het inloggen of de verzoeken van hetzelfde IP komen
- Stel een korte sessietime-out in, zodat de sessie automatisch afloopt als deze een tijdje niet wordt gebruikt.