Пароль только на 1 файл через htaccess:
Аналогично паролированию директории полностью, можно ставить пароль только на 1 файл.
Пример установки пароля на файл private.zip:
<Files private.zip>
AuthName "Users zone"
AuthType Basic
AuthUserFile /pub/home/твой_логин/.htpasswd
</Files>

почему я такого фаила не нашел?

Хм, сессия живет до закрытия страницы в браузере а у кук указано время жизни.

Авторизацию я сделала через сессии. Юзер логинится,
md5($_POST['pas']) сравнивается с хранимым паролем в БД, также проверяя соответствует ли введеный емайл, емэйлу хранимомому в БД. Если все ок, я стартутую сессию и кладу туда user['id']. В родительском классе есть функция, которая уже возвращает ассоциативный масив со всеми данными этого юзера. Дак вот. Везде, где мне надо проверить залогинился ли пользователь, я проверяю наличае этого массива (который заполнен от сессионой перименной с айди юзера) и вот теперь речь о куках! Функционал "запомнить меня" при логине я сделала так. В момент авторизации кладу в куку тотже айди и все, а потом уже проверяю: если в куках есть айди, то взять от туда, если нет, то из сессии, а иначе гость.

При удачной попытке логина администртора регистрируется $_SESSION['admin'] - для чего? Дальше как она используется? И как вообще можно защитить админку кроме пароля? Достаточно ли проверок на такую сессионную переменую?

И второй вопрос. После логина юзера, что писать в куки? его id ведь недостаточно? можно легко подставить! Помогайте, вся уже замучалась!

Ну хорошо, раз так ресурсоемко, то может подскажишь..как тогда в профиле прописать строку с указанием где находится пользователь в данный момент.

igrok54, друммер походу имеет ввиду чтобы ы админке было поле, затем ввел туда нужный ник и он находит его анкету. походу так

Хотелось бы, чтобы просто при наведении мыши, выходи подсветка о местенахождения юзера в данный момент...а при клике так и оставить - на профиль участника.