Камран, това, което се опитваш да направиш, е стандартен начин за поддържане на php сесии. Вие всъщност не съхранявате паролата в сесията, а просто съхранявате информацията, която този конкретен потребител вече е влязъл.$_SESSION['pass_ok']='1';
На всяка страница просто трябва да направите session_start() и проверката на тази сесия вече е настроена на 1, ако да, те приемат, че той е регистриран и продължава, иначе пренасочва към страницата за вход.
Ако някой се сдобие с идентификатора на сесията, той определено може да получи достъп до потребителската сесия. Можете да направите няколко неща, за да го направите по-сигурен.
- Използвайте SSl (https), това ще затрудни проникването на данните и ще получите идентификатора на вашата сесия
- поддържайте IP клиентския IP в сесията, когато потребителят влезе, за всяка заявка след влизане проверете дали заявките идват от същия IP.
- Задайте кратко време за изчакване на сесията, така че, ако останете неактивни за известно време, сесията изтече автоматично.
