خوب منم زیاد اینتور امنیتی کار نکردم و کلا تو php تازه کارم
اما یه پروژه داشتم که صفحه لاگین اون رو به این صورت درست کردم:
یه صفحه کا username و password از کاربر گرفته میشه و بعدش میفرسته به یه صفحه دیگه
اونجا با php کد نوشتم که بره و اونو از تو دیتابیس mysql پیدا کنه اگه یه همچین موردی تو دیتابیس بود که
user & password درست است و ادامه محتویات صفحه نشون داده میشه و اگه غلط بود یعنی مجوز ورود نداره و اشتباه وارد کرده...
برای اینکه این کار برای صفحات دیگه ادامه داشته باشه یعنی اگه user & pass درست بوده و صفحه اومده و حالا میخوایم که هنگام ورود به صفحه دیگه خودکار وارد بشه و دیگه پسورد نخواد زمانی که خواست به یه صفحه دیگه بره user & pass رو با یه فیلد مخفی( hidden field) ارسال میکنم .....
و تو هر صفحه همون همون شرط اول رو گذاشتم که با فیلدهای user & pass ارسالی رو با محتئیات دیتابیس چک کنه.....
------------------------------------
اگه خواستی میتونی خودت پروژه تست کنی برو این صفحه:
http://iauk.ocarina.ws/login.php
حالا user :ali1 و pass :amt وارد کن که میبره تو صفحه admin.php و اونجا کار چک کدن رو انجام میده...
در ضمن اگه مثلاً تو آدرس بار
http://iauk.ocarina.ws/admin.php مستقیم وارد کنی یعنی بدون اینکه از صفحه login وارد بشی بهت پیغام نداشتن مجوز دسترسی میده...
========================================
امیدوارم که چیزی دستگیرت شده باشه و مشکلت حل بشه
البته اینو بگم که من خیلی حرفه ای نیستم و ممکنه مشکلاتی داشته باشه...در هر حال خواستم تجربه خودمو بگم