Camran, quello che stai cercando di fare è un modo standard per mantenere le sessioni php. In realtà non stai memorizzando la password nella sessione, ma stai solo memorizzando le informazioni a cui questo particolare utente ha già effettuato l'accesso.$_SESSION['pass_ok']='1';
In ogni pagina devi solo fare un session_start() e il controllo di questa sessione è già impostato su 1, se sì presumono che sia loggato e procedono, altrimenti reindirizzano alla pagina di accesso.
Se qualcuno si impossessa dell'ID della sessione, può sicuramente accedere alla sessione dell'utente. Puoi fare alcune cose per renderlo più sicuro.
- Utilizza SSl (https), sarà difficile annusare i dati e ottenere il tuo ID sessione
- mantieni l'ip del client nella sessione quando l'utente accede, per ogni richiesta dopo l'accesso, controlla se le richieste provengono dallo stesso ip
- Imposta un breve timeout di sessione, in modo che, se lasciato inattivo per un po', la sessione scada automaticamente.
