Hola a tod@s,

Tengo un problema con la gestión de sesiones y no encuentro solución.

En mi web, hay una parte de administración en la que solo pueden entrar determinados usuarios mediante solicitud de log-in y pasword, etc..

El método que utilizo en la sesión es propagar la variable se sesión por todas las URL y formularios para poder acceder todo y no tener las cookies activas y también guardo los datos del usuario en diferentes variables de sesión para poder acceder a ellas en cualquier momento. En este sentido todo funciona correctamente pero he encontrado un error muy peligroso y no se cómo rectificarlo.

Si se cierra el navegador sin pasar por el script que destruye la session "session_destroy();" y introduzco una URL tal que la siguiente


midominio.com/admin/modules.php?mod=modulo&PHPSESSID=variableSesion

Puedo acceder sin ningún problema. Con esto, simplemente accediendo al historial del navegador, puedo entrar en la zona de administración sin autenticarme.
Este error me está dando muchos quebraderos de cabeza y no encuentro solución.

Muchas gracias por la ayuda,

Xavi Garcia