Witam, trochę szukałem na ten temat aczkolwiek nic ciekawego nie znalazłem. Mianowicie mam sprawdzenie poprawności sesji

[PHP] pobierz, plaintext 
 
function SessionAuth() {
	if (!(isset($_SESSION['auth']) && isset($_SESSION['user']) && $_SESSION['user_ip'] && $_SESSION['user_browser'] &&
		1 == $_SESSION['auth'] && $_SESSION['user_ip'] == IP() && $_SESSION['user_browser'] == $_SERVER['HTTP_USER_AGENT'])) {
		$_SESSION['reports']['message'] = 'Nie jesteś zalogowany'; 
		$_SESSION['reports']['type'] = 'info';
		header ('Location: login.php');
		exit;
	}
}
[PHP] pobierz, plaintext 

I sprawdzenie wykonuje na każdej jakby głównej stronie, ale co z includowanymi plikami z trescią, funkcjami, połączeniem itd? W każdym jednym powinienem sprawdzać czy ktoś jest zalogowany czy nie? Chodzi mi tu głównie o sytuację gdy ktoś wpiszę w przeglądarkę bezpośredni link do jakiegoś tam includowanego pliczku typu inc/cos.php itp itd.
Dodam, że to taki mały panel admina więc osoba niezalogowana nie powinna nic widzieć.

A drugie pytanie, gdy wylogowuję użyć ession_unset() i session_destroy() czy np wystarczy unset zmienne sesyjne, które zapisałem?

Jeszcze jedno pytanko Jak lepiej czyścić tablicę komunikatów, unset($_SESSION['reports']) czy po prostu $_SESSION['reports'] = array();

1.Najprościej będzie jak zdefiniujesz w pliku do którego includujesz inne pliki jakąś zmienną, np $in=true; a w plikach które są includowane sprawdź, czy istnieje zmienna in, dzięki temu będziesz mógł blokować dostęp do pliku "bezpośrednio".
Gdy poznasz obiektowość, modułowość, to rozwiążesz to w inny sprytniejszy sposób.

2. Jak Ci wygodnie.
3. Jak CI wygodnie. Różnica polega na tym, że unset usunie Ci ten element tablicy, a drugi sposób przypisze do niego pustą tablicę.

$_SESSION jest tablicą, pusta tablica to array(), więc czyszczyć sesje można dzięki $_SESSION = array(). Wtedy sesja będzie pustą tablicą tak jak w stanie "początkowym" To co ty robisz to po prostu przypisywanie do jednego z elementów tablicy pustej tablicy. Jeśli w Twoim skrypcie ten element jest tablicą, to wyzerowanie go przypisująć array() jest dobrym sposobem, dzięki temu gdy podasz ten element funkcjion tablicowym, czy pętli foreach nie otrzymasz błedu.

Możesz trochę rozwinąć troszkę 1 myśl? W zasadzie mogę wykorzystać $_SESSION['auth']?

Hmm... a możesz rozwinąć pytanie ? Bo teraz nie jestem pewny, czy dobrze odpowiedziałem.

Możesz rozwinąć troszkę ten pomysł? I czy nie mógłbym tu wykorzystać $_SESSION['auth']?

Od tego są stałe.

index.php

[PHP] pobierz, plaintext 
 
define('INCLUDED', true);
 
include 'pliczek.php';
[PHP] pobierz, plaintext 

pliczek.php

[PHP] pobierz, plaintext 
if(!defined('INCLUDED') || !INCLUDED) { 
 
     die('hahah');
} 
[PHP] pobierz, plaintext 

Dzięki wielkie, przerobie wedle potrzeb.
Kolejne pytanie

[PHP] pobierz, plaintext 
function SessionAuth() {
	if (!(isset($_SESSION['auth']) && isset($_SESSION['user']) && $_SESSION['user_ip'] && $_SESSION['user_browser'] &&
		1 === $_SESSION['auth'] && $_SESSION['user_ip'] === IP() && $_SESSION['user_browser'] === $_SERVER['HTTP_USER_AGENT'])) {
                session_regenerate_id();  // <---  ?
		$_SESSION['reports']['message'] = 'Nie jesteś zalogowany'; 
		$_SESSION['reports']['type'] = 'info';
		header ('Location: login.php');
		exit;
	}
}
[PHP] pobierz, plaintext 

Tak czytałem o bezpieczeństwu sesji i nie wiem czy dobrze zakumałem, ale jeśli autoryzacja nie powiodła się powinienem wygenerować nowe id sesji przy pomocy session_regenerate_id();?
Czy tylko przy inicjowaniu jej tak jak miałem dotychczas czyli:

[PHP] pobierz, plaintext 
					// jakis tam kod
					session_regenerate_id();
					$_SESSION['id'] = session_id(); 
					$_SESSION['auth'] = 1;
					$_SESSION['user'] = $login;
					$_SESSION['user_ip'] = IP();
					$_SESSION['user_browser'] = $_SERVER['HTTP_USER_AGENT'];
					header ('Location: admin.php');
					exit;
[PHP] pobierz, plaintext 

Edit: tak patrze na inne cmsy i czy jest sens blokowania innych includowanych plikow?