Przy poprawnym logowaniu mam coś w stylu:

[PHP] pobierz, plaintext 
$_SESSION['logged'] = true;
$_SESSION['login'] = $_POST['login'];
[PHP] pobierz, plaintext 

a na ograniczonych dostępem podstronach:

[PHP] pobierz, plaintext 
if (!isset($_SESSION['user_logged'])) header();
[PHP] pobierz, plaintext 

czyli taki standard.

Teraz tak sobie myślę to przecież jak user usunie sesje user_login a zostawi samo logged to będzie "anonimowy" u mnie na stronie, tak? Czy samo to że dodam do sprawdzania czy istnieje również sesja z loginem wystarczy? robię mase rzeczy po tym loginie z sesji, a przecież tą wartość też można podmienić...

powiedzmy że znam login administratora strony i mogę zmienić wartość sesji "login" na jego login?

1. Użytkownik nie ma możliwości ingerencji w dane trzymane po stronie serwera (sesja).
2. Twój mechanizm sprawdzania niczego nie blokuje - wysłanie nagłówka, nie zatrzymuje działania skryptu.

Chyba nie zrozumiałem pkt. 2 ten mechanizm sprawdzania ma działać na zasadzie że jak jest user niezalogowany a wejdzie w jakąś tajną podstronę to ma go przenieść na główną.

Jeżeli cały Twój kod ogranicza się do czegoś w rodzaju:

[PHP] pobierz, plaintext 
if (!isset($_SESSION['user_logged'])) {
  header('Location: ...');
}
[PHP] pobierz, plaintext 

To nie jest to żadne zabezpieczenie. Musisz jeszcze przynajmniej zatrzymać wykonywanie skrypt, np. przy pomocy exit. Funkcja header jedynie ustawia nagłówek HTTP i nie ma najmniejszego wpływu na dalsze wykonywanie kodu, a przeglądarka może go kompletnie zignorować.

O kurcze, tego to nie wiedziałem. Myślałem że po header() skrypt się kończy. hmm, czyli samo exit/die wystarczy po header() ?