А почему больше одного? Должно быть строго 1.

Безопасность:
любую куку, устанавливаемую пользователю, нужно шифровать.
защита от подмены куки. Тут все зависит насколько вы параноидальны: от хранения в кукисах только ид сессии минут 20 до хранении определенного проверочного кода.

Уже лучше)
"Текстовая" блок-схема правильная?

Тут надо проверять. Если сессия уже есть, то session_start(), а если нет, то создастся новая. Но вам это не надо, вам нужно проверять если или нету.

А если я в шапку запихну вывод логина и буду ее инклюдить на каждой странице? Тогда и сессию можно вверх запихать и забыть про это получается. Так?

Да так. Так сделано к примеру в дле.

Покуда выпадал - апаю тему авторизации на сессиях.

1) session_start();
2) проверка в переменной сессии пары логин и пароль. Пароль, как я понимаю, хранится в не шифрованном виде. Или в шифрованном? Юзер вводит пасс и его, прежде чем пихнуть в сессию надо шифровать или нет?
2а) В сессиях пусто. Выводим форму авторизации.
2б) В сессиях не пусто. (есть пара для сверок). Берем и сверяем с таблицей текущие данные: 1) либо выводим форму авторизации (если данных в таблице нет или они не верны), либо 2) выводим "%username" (если данные в таблице есть в строго одном количестве)
3) при обращении к зашифрованной странице проверяем данные в сессии, сравниваем их с базой, Если катят, то показываем контент. Если нет - die();
4) отдельный файл для дестроя сессии.
*) получается каждый раз при проверке корректности логина/пароля надо коннектиться к базе? не дофига ли?

Я гуглил скрипты для этого (посмотреть готовые варианты). Там куча файлов (штук по 5-8 разных) и все настолько подробно написано, что я запутываюсь больше, чем вижу наглядную картину этой ситуации.
Пока писал сей псто подумал о том, что для этой регистрации нужно 2 файла, грубо говоря. Один инклюдим туда, где находится форма авторизации. Там либо она выводится, либо данные, подтянутые из таблицы с помощью данных в сессии (инфа о юзере). При показе закрытой части сайта прост осмотрим сессию.
Второй файл, собственно, дестрой (Logout.php какой нибудь).

Почему же я тогда не встречал сего скрипта, который собран по образу и подобию моего текстового описания?
Ну и это... Как его... Я все правильно написал?

Вопрос. Зачем? Зачем вообще хранить пароль в сессии?
Храните ID юзера если он вошел. Если нужно достать юзера из базы, то просто выбираете по ИД.


Собственно при выборке по ID оно и будет 0 или 1, не больше :)


Вы про уровень доступа? Или про просто авторизацию?
Если про уровень доступа, то просто при выборке из базы по ИД юзера, выбирайте группу. Можно было бы хранить даже в сесии и не выбирать, но вдруг юзер олнлайн а группа изменилась?
То есть просто при выборке юзера по ИД из сессии тяните каждый раз группу.

Если же Вы про проверку авторизован ли юзер, то всё просто
[PHP]function is_auth() { return isset($_SESSION['user_id']) && $_SESSION['user_id'] > 0; }[/PHP]



Ну отдельный или нет это уж зависит от того как вы написали сайт :) Если у вас есть некое подобие контроллёров из MVC, то файл скорей всего будет не отдельный.



Ещё раз повторю, не надо каждый раз проверять пароль и логин. Вы выбираете просто по ИД юзера и заполняете какой то объект, например $user данными из бд.
А если каждый раз не коннектиться, то сложно сразу после ихменения группы, статуса, или имени юзера, отобразить это на сайте, например Вы его забанили, а он продолжает ходить по сайту, так как данные из бд не тащил.
Да и мускл держит тысячи запросов в секунду.




Я видел кучу скриптов авторизации, там столько бреда как правило встречается :)



Погуглите лучше что такое MVC, давно уже перешли почти все на ООП, MVC, и автозагрузку классов.


Скорей всего потому, что давно все перешли на MVC подобные системы и готовые или самописные фреймворки.
Все скрипты что в интернете лежат из кучи файлов для аторизации и инклуда друг в друга, с сохранением паролей в куках, это всё переделанные скрипты Попова, теми кто только учит программирование, и не понимает его, просто переделывают скрипты Попова, типа "Вот я сделал сам, нате, пользуйтесь"...

лучше вообще не использовать session, дабы не замусоривать файловую систему. Сам php как-то неохотно очищает старые сессии, проверено. Совсем неплохо хранить сессии в БД в сериализованном виде, т.к. Вы все равно лезете туда для проверки авторизации каждый раз.

А если очищать сессию юзера при том же бане? Взяли строку конкретного юзера, положили как объект в сессию и ходим с ней (весит копейки), зато вывод логина, емейла и прочее - без запросов к бд. Сессия закончилась - объект автоматом удалился (не надо чистить таблицы в бд от старых сессий - это к комментарию выше). При изменении записи в строке бд конкретного юзера - сбрасываем его переменные сессии, юзер автоматом разлогинивается. Получение активных сессий всех юзеров и изменение значений конкретных сессионных переменных делал в .net, но там была немного другая задача. А данный вариант - просто размышления.