セッションには常にユーザー ID と IP アドレスを保存します。これは堅実ではありませんが、セッションがその IP に接続されているかどうかを追加で確認できます。セッションにパスワードを保存すると、ハッシュを保存するだけです。
パスワードをセッションIDに保存する必要はありません。それは個人的な好みの問題です。または、使用しているログイン スクリプトがクエリを最適化しようとしている可能性があります。おそらく、彼らはユーザーに自分自身を再認証するように要求するかもしれません.データベースに別のクエリを作成するのではなく、phpのみを使用してチェックすることができます. これは最も安全な方法ではないかもしれませんが。
また、単純な isset メソッドで十分に機能するはずです。
セッションに保存する必要がある重要なことは、ログインしたユーザーのWebサイト全体を回避できるため、ログインしたユーザーのIDです。これにより、ユーザーがログインしているかどうかを確認できます。 ['user_id'] は、セッションの値を持つユーザーに設定され、ログアウト時にセッション user_id を破棄します。user_id 以外に、Web サイト全体で頻繁に必要な名前や年齢などを保存できます。そのようなものもセッションに保存してください。簡単に見つかることを願っています。