Camran, những gì bạn đang cố gắng làm là một cách tiêu chuẩn để duy trì các phiên php. Bạn thực sự không lưu trữ mật khẩu trong phiên mà chỉ lưu thông tin mà người dùng cụ thể này đã đăng nhập. $ _ SESSION ['pass_ok'] ='1';
Trên mỗi trang, bạn chỉ cần thực hiện một session_start () và kiểm tra phiên này đã được đặt thành 1, nếu có, họ cho rằng anh ta đã được ghi nhật ký và tiến hành, nếu không, hãy chuyển hướng đến trang đăng nhập.
Nếu ai đó nắm được id phiên thì họ chắc chắn có thể truy cập vào phiên người dùng. Bạn có thể thực hiện một số điều để làm cho nó an toàn hơn.
- Sử dụng SSl (https), sẽ rất khó để đánh giá dữ liệu và lấy id phiên của bạn
- duy trì ip của ứng dụng khách trong phiên khi người dùng đăng nhập, đối với mọi yêu cầu sau khi đăng nhập, hãy kiểm tra xem các yêu cầu có đến từ cùng một ip không
- Đặt thời gian chờ phiên ngắn để nếu không hoạt động trong một thời gian, phiên sẽ tự động hết thời gian chờ.
