Camran, det du prøver at gøre er en standard måde at vedligeholde php-sessioner på. Du gemmer faktisk ikke adgangskoden i sessionen, men gemmer blot de oplysninger, som denne bestemte bruger allerede har logget på.$_SESSION['pass_ok']='1';
På hver side skal du bare lave en session_start() og check af denne session er allerede sat til 1, hvis ja antager de, at han er logget og fortsætter, ellers omdirigeres til login-siden.
Hvis nogen får fat i sessions-id'et, kan de helt sikkert få adgang til brugersessionen. Du kan gøre et par ting for at gøre det mere sikkert.
- Brug SSl (https), det vil gøre det svært at opsnuse dataene og få dit sessions-id
- vedligehold klientens ip i sessionen, når brugeren logger på, for hver anmodning efter login, tjek om anmodningerne kommer fra samme ip
- Indstil en kort sessionstimeout, så sessionen timeout automatisk, hvis den ikke er inaktiv i et stykke tid.