Camran, was Sie versuchen, ist eine Standardmethode, um PHP-Sitzungen aufrechtzuerhalten. Sie speichern das Passwort eigentlich nicht in der Sitzung, sondern speichern nur die Information, dass sich dieser bestimmte Benutzer bereits angemeldet hat. $_SESSION['pass_ok']='1';
Auf jeder Seite müssen Sie nur ein session_start() machen und die Überprüfung dieser Sitzung ist bereits auf 1 gesetzt, wenn ja, nehmen sie an, dass er eingeloggt ist und fahren fort, andernfalls leiten sie zur Anmeldeseite weiter.
Wenn jemand die Sitzungs-ID erhält, kann er definitiv auf die Benutzersitzung zugreifen. Sie können ein paar Dinge tun, um es sicherer zu machen.
- Verwenden Sie SSL (https), da dies das Ausspähen der Daten und das Abrufen Ihrer Sitzungs-ID erschwert.
- Behalten Sie die Client-IP in der Sitzung bei, wenn sich der Benutzer anmeldet, prüfen Sie für jede Anfrage nach der Anmeldung, ob die Anfragen von derselben IP kommen
- Legen Sie ein kurzes Sitzungs-Timeout fest, sodass die Sitzung automatisch abläuft, wenn sie eine Weile inaktiv bleibt.
