Camran, det du försöker göra är ett standardsätt att underhålla php-sessioner. Du lagrar faktiskt inte lösenordet i sessionen utan bara lagrar informationen som denna speciella användare redan har loggat in.$_SESSION['pass_ok']='1';
På varje sida behöver du bara göra en session_start() och kontrollen av denna session är redan inställd på 1, om ja antar de att han är inloggad och fortsätter, annars omdirigeras till inloggningssidan.
Om någon får tag i sessions-id:t kan de definitivt komma åt användarsessionen. Du kan göra några saker för att göra det säkrare.
- Använd SSl (https), det blir svårt att sniffa data och få ditt sessions-id
- behåll klientens ip i sessionen när användaren loggar in, för varje begäran efter inloggning, kontrollera om begäranden kommer från samma ip
- Ställ in en kort session timeout, så att sessionen timeout automatiskt om den lämnas inaktiv ett tag.