Es una forma correcta de validar login con seguridad?

Buenas a todos!

Voy a empezar desde el principio lógicamente. Resulta que he realizado 2 webs que tengo alojadas en mi portátil, y para validar un usuario, al escribir este su user y pass, las envío mediante POST y en la pag. donde envío los campos compruebo que ambos no esten vacíos y que existan tanto el user como el md5 del pass en la bd. Si el valor devuelto es distinto de 0, todo bien y procedo a guardar esos datos en el array SESSION.

En un campo $_SESSION[user] guardo el usuario y en el campo $_SESSION[pass] guardo el md5 del pass. ¿Por qué hago esto? Pues por la sencilla razón de que si no lo hago, podría venir alguien, desde otra de las pags. que tengo alojadas en mi servidor, que utilice las mismas variables SESSION y lo metería directamente en mi pag. como un usuario, por tanto guardo el user y md5 del pass y cada vez que entro a cada pag. de mi web, compruebo que tanto user como md5 del pass existen en la bd.

Por tanto, en el único caso que entraría al servidor el usuario, sin haberse logueado en mi web, pero habiéndose logueado en otra de mi servidor, sería cuando en los campos SESSION[user] y SESSION[pass] coincidan con algunos de los usuarios existentes en la BD, por lo que no me parecía una forma errónea de validar, dado que si tienen user y pass...lo tienen todo.

En el caso de que ni el user ni el pass coincidan, vacío complétamente el array SESSION, sería esto correcto? O sólo debería comprobar que el contenido de SESSION[user] y SESSION[pass] esten vacíos, y en caso de no estarlo, vaciarlos...

En fin, se que en cierto modo os estoy pidiendo algo grande, porque es un tema de seguridad, pero no llevo demasiado en esto y evidentemente, si pregunto es por no saber...

P.D. El array SESSION no es accesible para los usuarios que acceden a la web no? Es un array que tiene el servidor vinculado a la IDSESSION de cada sesión activa, cierto? Porque si no sería un problema de seguridad el que en el campo SESSION[pass] guardarse el md5 del pass, pudiendo lograr algun usuario mal intencionado ese md5 y posteriormente, quien sabe, conseguir el pass real y acceder luego al sistema....

utiliza cookies, estas almacenan lo que tu quieras y almacenan la ruta a la pagina. con lo cual ese problema ya lo tendria solucionado. UN saludo ;)
otra opcion en guardar una sesion en que indiques la pagina en que se ha logeado

Dejando de lado el tema de las cookies...tal como lo tengo, es válido? Y si sabes contestarme sobre la posdata, lo agradecería mucho tambien ;)

Para evitarte eso es recomandable usar session_name() ya que con ese puedes tener diferentes sesiones y así no se pueden mezlcar.

Respecto a tu PD, en efecto no puedes accesara a $_SESSION desde el cliente a menos que estes usando register_globals, lee lo siguiente: http://www.php.net/security.globals

Saludos.