はい、パスワードフィールドとhttpsは間違いなくログインへの良いアプローチです。パスワードを推測しようとするロボットスクリプトではないことを確認するために、キャプチャを除いて、今のところ他に何もすることは考えられません。
セッション管理について:「$ _ SESSION」変数があります。これはすべての接続に固有であり、「session_start();」を呼び出した後、PHPによって自動的に維持されます。スクリプトの最初に。
このコマンドは非常に重要です。そうでない場合、$ _ SESSIONは常に空になります...私が間違っていない場合は、ブラウザに識別情報(SessionIDなど)を要求し、保存されている情報をそれに一致させますセッションID。
このセッション変数は、他のスーパーグローバルと同様に使用します。
$_SESSION['ID'] = $ID;
$_SESSION['AccessRights'] = $AR;
等々。実際のセッションデータはサーバー側にのみ保存され、PHPスクリプト以外から変更することはできません。ユーザーについて知っておく必要のあるすべてのものを$_SESSIONに保存すれば、問題はありません。
「HTTPSの維持」について:すべての「重要なデータ」がすでに転送されているという理由だけで、これは必要ありません。
ただし、機密データや個人データ(パスワードの変更など)を処理したら、もう一度HTTPSに戻りたい場合があります。ただし、経験から、HTTPSの実際のオーバーヘッドは、今日のシステムではかなり小さいものであり、大量のトラフィックを予期していない限り、「オン」のままにしておくことは決して悪い考えではありません。
さて、私はこの問題に関して間違っているかもしれませんが、それはこの問題についての私の意見です。