Нужна помощь по сессиям - от А до Я

Пишу небольшой проект, нужна помощь по сессиям.
Часть первая:
Главная имеет обычный код, просто форма для авторизации:
Дальше страница logh.php, которая проверяет пароль. Например, логин и пароль admin:
И вот вопросы:
1) правильно ли я делаю session_start(); ?
2) правильный ли алгоритм проверки логина/пароля?

Все работает, но может подскажите на начальном этапе что не так? Спасибо.

p.s. Часть первая, потому что по мере написания проекта вопросы будут возникать и дальше

Тут походу нет никого...

видимо так и есть, либо просто дают нам самим думать

народ, если кто шарит, помогите пожалуйта советом, застрял:
Проблема: авторизация на сайте срабатывает, перекидывает на поддомен, на нем сессия сохраняется, а на сайте исчезает

.htaccess сайта содержит строки:
RewriteCond %{HTTP_HOST} ^www.site.com
RewriteRule (.*) https://site.com/$1 [R=301,L]
<IfModule mod_rewrite.c>
php_value session.cookie_domain ".site.com"
</IfModule>

.htaccess поддомена содержит строки:
<IfModule mod_php5.c>
RewriteCond %{HTTP_HOST} ^my.site.com
RewriteRule (.*) https://my.site.com/$1 [R=301,L]
</IfModule>
php_value session.cookie_domain ".site.com"

сайт на битриксе, кабинет на поддомене - самописный

в битриксе стоят галки в настройках модулей:
Распространять куки на все домены:
Использовать защищенное хранение авторизации в cookies:
Распространять авторизацию на все домены:

в настройах сайта указаны доменные имена:
site.com
my.site.com

1. правильно.
2. неправильно.


изучите детали самой куки, которая создается.
странно, что битрикс её создает и сам не видит.

попробуйте убрать ваши настройки из хтацесса - пускай битрикс сам делает обработку. должен бы уметь.

Спасибо большое, буду пробовать.

Пускай даже если с базы тяну. Дело не в этом.
А сам алгоритм. Сверяю логин и пароль - и если они совпадают: пускаю, если нет - не пускаю.
Проблема в условии (if ($loger=='admin' && $pass=="admin")) или в $_SESSION['Login']?

Спасибо.

если просто открыть страницу без отпраки логина и пароля - авторизация будет сброшена.

Да, замечал такую проблему. Нужно алгоритм (если авторизированный) в начале страницы помещать, после session_start?

нужно проверять, что происходит ПОСТ запрос

а можете подробнее? Сейчас опять взялся за проект, не могу понять о чем речь идет. Спасибо

Не мешало бы проверять POST переменные на isset, на поздних версиях php это уже вроде как обязалово.

- а ещё значение переменной $pass не присвоено, нужно поменять $para=$_POST['para']; на $pass=md5($_POST['para']);

- и конечно пароли лучше хранить в хеше

<?

if (isset($_POST['login']) && isset($_POST['para'])){

$loger=$_POST['login'];
$para=md5($_POST['para']);

if ($loger=='admin' && $pass=="admin"){
$_SESSION['Login'] = 'YES';
echo 'что попало';
} else {
$_SESSION['Login']="NO";
echo 'не вошел. закрытая зона. ЧТобы войти <a href="index.php">вернитесь на главную</a>';
}
}
?>

$_SERVER['REQUEST_METHOD'] == 'POST'

Извините за вопрос, но где должен быть этот код? То есть строка проверки алгоритма? На странице проверки данных логина/пароля, на всех страницах, где есть сессии? И еще, до начала сессий, или после:

приблизительно так.

Спасибо, то есть ПОСТ запрос нужно проверить один раз, а потом просто
if ($_SESSION['Login'] == 'YES'), то выводить другую скрытую инфу, так?