Camrane, to, co se snažíš udělat, je standardní způsob udržování php relací. Ve skutečnosti neukládáte heslo v relaci, ale pouze ukládáte informaci, že se tento konkrétní uživatel již přihlásil. $_SESSION['pass_ok']='1';
Na každé stránce stačí provést session_start() a kontrola této relace je již nastavena na 1, pokud ano, předpokládají, že je přihlášen a pokračujte, jinak přesměrujte na přihlašovací stránku.
Pokud někdo získá ID relace, pak má určitě přístup k uživatelské relaci. Pro větší zabezpečení můžete udělat několik věcí.
- Použijte SSl (https), bude obtížné načíst data a získat ID relace
- udržujte IP klienta v relaci, když se uživatel přihlásí, u každého požadavku po přihlášení zkontrolujte, zda požadavky pocházejí ze stejné IP
- Nastavte krátký časový limit relace, aby při nečinnosti relace automaticky vypršela.