Camran、あなたがやろうとしていることは、phpセッションを維持するための標準的な方法です。実際には、この特定のユーザーがすでにログインしている情報を保存するだけでなく、セッションにパスワードを保存します。$ _ SESSION ['pass_ok'] ='1';
すべてのページでsession_start()を実行するだけで、このセッションのチェックはすでに1に設定されています。はいの場合、ログインして続行されていると見なされます。そうでない場合は、ログインページにリダイレクトされます。
誰かがセッションIDを取得した場合、そのユーザーは間違いなくユーザーセッションにアクセスできます。安全性を高めるためにいくつかのことができます。
- SSl(https)を使用すると、データのスニッフィングとセッションIDの取得が困難になります
- ユーザーがログインするときにセッションでクライアントIPを維持し、ログイン後のすべてのリクエストについて、リクエストが同じIPからのものであるかどうかを確認します
- 短いセッションタイムアウトを設定して、しばらくアイドル状態のままにすると、セッションが自動的にタイムアウトするようにします。