Hola amigos del foro. Tengo unas pequeñas dudas sobre las sesiones de usuario en PHP.

Estoy utilizando modelo vista controlador, con esto quiero decir que todas mis páginas pasan por el index.php para hacer todos los redireccionamientos.

Tengo una página de login que cuando el usuario se registra llama a una función para comprobar si existe el usuario en la base de datos, si existe creo la variable $_SESSION['miUsuario'] y guardo en ella todos los datos del usuario para poder acceder a ella desde cualquier parte de la web...como preferencias del perfil, configuración etc.

Además tengo lo que yo llamo una plantilla base una vez te logueas, es decir, un archivo PHP que contiene todo el html, head, header y footer, que siempre será estático en todas las páginas, pero el section del body varían en función de la página que te encuentres.


Mi web se compone de dos páginas diferentes, una es la del login y la otra es la de la página final, es decir, la que te encuentras una vez logueado. No tiene nada que ver una con la otra pero ambas pasan por el index.php, cada una tiene su propio html con su respectivo CSS y javascript.

Ahora vienen mis dudas:
Es correcto guardar todos los datos del usuario en la variable $_SESSION o esto es una vulnerabilidad?

El session_star() tiene que estar en todas las páginas o simplemente llega con que lo ponga al principio del index.php?

Muchas gracias por vuestras futuras respuestas.un saludo