Come ho capito, una sessione è memorizzata solo sul lato server. L'id utente (o ID sessione) per la sessione è memorizzato in un cookie o url. Quindi, un utente, anche se lui o lei è un super hacker, non può modificare localmente le eventuali variabili $_SESSION che uso sul mio sito eccetto l'id di sessione o l'id utente?
Nella maggior parte delle configurazioni, i dati della sessione è memorizzato sul server e il suo identificatore viene memorizzato in un cookie. Se non hai giocato con le impostazioni o con i gestori di sessioni personalizzate, questo sarà il modo per te.
Ok, morderò. Perché * Di solito. *? –
@JaredFarrish: è possibile utilizzare 'session_set_save_handler()' per inviare i dati al client. Non che lo faresti, ma è possibile. – alex
Eh ... mi potrebbe dire "Le sessioni sono di default memorizzato sul server è possibile configurare un server per memorizzare i dati di sessione come dati di sessione di server rilevanti sul cliente;. Tuttavia, questo non è comune e non è come PHP è configurato per gestire le sessioni in tutti i casi tranne speciali. " –
Sì, i dati della sessione su un solo server. –
Se un "super hacker" può modificare le informazioni sul server è un altro problema. E, tecnicamente, dovresti sapere su [session fixation] (http://en.wikipedia.org/wiki/Session_fixation). –