Camran, ce que vous essayez de faire est un moyen standard de maintenir des sessions php. En fait, vous ne stockez pas le mot de passe dans la session, mais stockez simplement les informations auxquelles cet utilisateur particulier s'est déjà connecté.$_SESSION['pass_ok']='1';
Sur chaque page, il vous suffit de faire un session_start () et la vérification de cette session est déjà définie sur 1, si oui, ils supposent qu'il est connecté et continuez, sinon redirigez vers la page de connexion.
Si quelqu'un obtient l'identifiant de session, il peut alors accéder à la session utilisateur. Vous pouvez faire quelques choses pour le rendre plus sécurisé.
- Utilisez SSl (https), il sera difficile de renifler les données et d'obtenir votre identifiant de session
- conservez l'adresse IP du client dans la session lorsque l'utilisateur se connecte, pour chaque demande après la connexion, vérifiez si les demandes proviennent de la même adresse IP
- Définissez un délai d'expiration de session court, de sorte qu'en cas d'inactivité pendant un certain temps, la session expire automatiquement.
