Camran, apa yang Anda coba lakukan adalah cara standar untuk mempertahankan sesi php. Anda sebenarnya tidak menyimpan kata sandi dalam sesi, melainkan hanya menyimpan informasi bahwa pengguna tertentu telah masuk.$_SESSION['pass_ok']='1';
Pada setiap halaman Anda hanya perlu melakukan session_start() dan memeriksa sesi ini sudah disetel ke 1, jika ya, mereka menganggapnya login dan melanjutkan, jika tidak, redirect ke halaman login.
Jika seseorang mendapatkan id sesi maka mereka pasti dapat mengakses sesi pengguna. Anda dapat melakukan beberapa hal untuk membuatnya lebih aman.
- Gunakan SSL (https), itu akan membuat sulit untuk mengendus data dan mendapatkan id sesi Anda
- pertahankan ip klien di sesi saat pengguna masuk, untuk setiap permintaan setelah masuk, periksa apakah permintaan berasal dari ip yang sama
- Setel batas waktu sesi yang singkat, sehingga jika dibiarkan tidak aktif selama beberapa saat, waktu sesi akan habis secara otomatis.
