Pisze prosty, ale i (staram się) bezpieczny system logowania. Wszystkie zmienne staram się gromadzić w sesjach, ale mam mały problem:
tworze plik rozpoczynający sesje i wkładający do niej zmienne (np. $_SESSION [ 'test' ] = "blablabla";), potem mam zwykły link (<a href=\"test.php\"> link</a>) który prowadzi do strony wyświetlającej 'test' z sesji ($test=$_SESSION ['test']; echo "test=$test";).
Z tego co wyczytałem to należy ID sesji albo w Cookie albo GET'em.
Obie metody są do bani (chyba ) gdyż spora część user'ów ma wyłączoną obsługę ciastek, a zmienne get można wklepywać samemu - i w ten sposób sporo namieszać na stronie (no i jak zamkniemy przeglądarkę i ponownie wklepiemy poprawny link to strona otworzy się jakby nigdy nic ).
Zastanawiałem się, czy w jakiś sposób nie da się przesyłać identyfikatora sesji w formie POST - tak jak to robią formularze, tylko za pomocą zwykłych href'ów. A może da się przyporządkować sesje do czegoś innego o czym nie wiem?

Wbudowane sesje w php bedą się starały zawsze przekazać. Niekiedy dzieje się to przez formularze poprzez pola hidden. Mozesz sobie też coś takiego zrobić ręcznie.

Zawsze? to może ja coś źle robie...
kod strony:

[PHP] pobierz, plaintext 
<?php
session_start ();
$string = crypt(rand());
$sessionid = md5($string);
$_SESSION [ 'SID' ] = $sessionid;
$id=$_SESSION ['SID'];
echo "sesid=$id";
echo "<a href="test.php"> link</a>";
?>
[PHP] pobierz, plaintext 

i kod drugiej strony (test.php)

[PHP] pobierz, plaintext 
<?php
$id=$_SESSION ['SID'];
echo "id=$id";
?>
[PHP] pobierz, plaintext 

$sessionid to losowa wartość, przekazujemy ją do test.php - u mnie nie działa :/

Ja zrobiłem to tak. Plik index gdzie jest zwykły formularz który przesa POST'em do pliku
log.php

[PHP] pobierz, plaintext 
<?php
ob_start();
session_start();
if ( (empty($_SESSION['user'])) AND (empty($_SESSION['pass']) ) )
{ if ( (empty($_POST['login'])) AND (empty($_POST['pass'])) )
	   {header('location:index.html');
		exit();
		}
 
  $n=$_SESSION['user']= $_POST['login'];
  $_SESSION['pass']= $_POST['pass'];
 
  @$a=mysql_connect("****","****","****");
  @$b=mysql_select_db(ahb);
   if (!$a OR !$b)
   {Echo("<div aligne-=center>Błąd połączenia z bazą w celu weryfikacji.</br>
						 Spróbuj później. Powaiadom administratora</div>");
						 exit();}
   
   $s1 = "SELECT * FROM `baza` WHERE `nazwa` LIKE '$n' ";
   $w= mysql_query($s1);
   $w1=mysql_fetch_array($w);
   $pnazwa= $w1['nazwa'];
   $ppass=$w1['pass'];
 
   mysql_close();
	  if ( ($_SESSION['user'] === $pnazwa) AND ($_SESSION['pass'] === $ppass) )
		  {$_SESSION['autuser']=1;
		   $_SESSION['iduser']=$w1['ID'];
		  header('location:index2.php');
		  exit();}
		  else {
		  echo ('
		  <TABLE>
		  <TR><TD><p>Niepoprawny login lub hasło --> <font color="#FF0000"><b> ACESS DENIDED</b></font></p>
		  </TD></TR></br>
		  <TR><TD><a href=index.html> LOGOWANIE </a></TD></TR>
		  </TABLE></BR>');
		  session_destroy();
		  exit();}
}
ob_end_flush();
?>
[PHP] pobierz, plaintext 

A potem na początku każdego pliku który ma być zabezpieczony:

[PHP] pobierz, plaintext 
<?php
session_start();
if ( (!isset($_SESSION['user'])) AND (!isset($_SESSION['pass'])) )
{ echo('<a href=index.html > LOGOWANIE </a>');
exit();}
?>
[PHP] pobierz, plaintext 

Oczywiście jest to oparte o baze MySql. Można także na plikach po modyfikacjach.

DZIAŁA
wielkie dzięki