SESSION 安全问题

大家好,这是我第一帖.欢迎各位指教.


相信使用DW 做网页的肯定不少.但如果去看过它密码验证自动生成的代码.感觉是比较脆弱的.
而大多人的作法也都是检查密码后,如果密码正确.
就直接 $_SESSION['admin']== true 来当作管理员通过验证.
当访问需要管理权限的网页时,就只检查admin是否为ture而给予操作权限.


这样做虽然也是可以,但是在共用主机或同域名下安全性是不够.
可能在同域名下,用户可能可以透过session 欺骗,
构造一个假的网页.直接$_SESSION['admin'] == true ;
造一个假的session,直接访问管理页面就不用密码了.


而我做法是检查SESSION是否存在,如果存在要先检查帐号密码是否正确.如果正确在给予true.写成一个页面.
并在操作页面require,并针对ture 再给予操作权限.
虽然这样比较多此一举,但是安全提高很多.

我在想这样做法会不会多此一举.
不知道各位有什么意见.

求实现方法！求更改服务器SESSION数据方法。