關於Session驗證登陸狀態的一個疑問?

寫程式也有那麼幾年頭了，架構用的久，原生Session這塊幾乎沒做過什麼研究，現在突然想起來，還真有個小疑問：
我一般驗證是否登陸類似這樣寫：

驗證：

if(!checkV($_GET['username']) || !checkV($_GET['password'])){    return false;}if($username == $_GET['username'] && $password == $_GET['password']){    $_SESSION['islogin'] = 1;}

狀態驗證：

function checkLogin(){    if(empty($_SESSION['islogin']))    {        return false;    }    return true;}

我總感覺這麼寫是不是太簡單了？ 安全方面自己心裡沒點低，但是這個方法用了挺久也沒出過啥問題，望批評指教！

回複內容：

寫程式也有那麼幾年頭了，架構用的久，原生Session這塊幾乎沒做過什麼研究，現在突然想起來，還真有個小疑問：
我一般驗證是否登陸類似這樣寫：

驗證：

if(!checkV($_GET['username']) || !checkV($_GET['password'])){    return false;}if($username == $_GET['username'] && $password == $_GET['password']){    $_SESSION['islogin'] = 1;}

狀態驗證：

function checkLogin(){    if(empty($_SESSION['islogin']))    {        return false;    }    return true;}

我總感覺這麼寫是不是太簡單了？ 安全方面自己心裡沒點低，但是這個方法用了挺久也沒出過啥問題，望批評指教！

• 寫法沒問題

• 問題是別人偽造你的session_id,就可以操作該session_id對應的使用者，簡單解決辦法用HTTPS防止中間人

沒有問題。心放到肚子裡。
最簡單的模式就是這樣的。其它搞得再複雜還是這樣。

你的已經是最佳實務了。

驗證之後，存入session，思路沒有問題啊。把一些細節完善下就更好了

邏輯上沒問題，不過islogin這個沒什麼意義啊，不如在session裡面寫入uid或者username，到時候通過這個session值是否存在來判斷使用者是否登入，其它程式部分需要username的時候還能直接調用$_session['username']這個變數

