Secondo php.net: Esistono diversi modi per divulgare un ID sessione esistente a terze parti. Un ID di sessione trapelato consente alla terza parte di accedere a tutte le risorse associate a un ID specifico. Innanzitutto, gli URL che trasportano gli ID di sessione. Se si collega a un sito esterno, l'URL che include l'id di sessione potrebbe essere memorizzato nei log dei referrer del sito esterno. In secondo luogo, un aggressore più attivo potrebbe ascoltare il traffico di rete. Se non è crittografato, gli ID di sessione scorreranno in testo normale sulla rete. La soluzione qui è implementare SSL sul tuo server e renderlo obbligatorio per gli utenti.
Questo fa sorgere la domanda, come si dispone dell'ID di sessione ma non è possibile accedere allo script?
Indipendentemente da ciò, è necessario impostare l'ID sessione e quindi avviarlo ... quindi accedere ai dati.
session_id($whatever_id_you_have);
session_start();
echo $_SESSION['somekey'];
fonte
2012-01-04 12:00:25
Solo una risposta dice come ottenere i dati della sessione usando session_id. –