Camran, lo que está tratando de hacer es una forma estándar de mantener sesiones de php. En realidad, no está almacenando la contraseña en la sesión, sino simplemente almacenando la información de que este usuario en particular ya ha iniciado sesión. $_SESSION['pass_ok']='1';
En cada página, solo tiene que hacer session_start () y verificar que esta sesión ya está configurada en 1, si es así, asumen que está conectado y continúa, de lo contrario, redirigir a la página de inicio de sesión.
Si alguien obtiene la identificación de la sesión, definitivamente puede acceder a la sesión del usuario. Puede hacer algunas cosas para hacerlo más seguro.
- Utilice SSl (https), será difícil rastrear los datos y obtener su ID de sesión
- mantenga la ip del cliente en la sesión cuando el usuario inicie sesión, para cada solicitud después de iniciar sesión, verifique si las solicitudes provienen de la misma ip
- Establezca un tiempo de espera breve para la sesión, de modo que, si se deja inactiva durante un tiempo, la sesión finalice automáticamente.
