Как разместить идентификатор пользователя в сеансе? просто вставить идентификатор? Я имею в виду (например):
$_SESSION['id'] = 1;
Невозможно изменить его самим пользователем (как cookie ..)? Потому что, если это так, он может перейти на любой идентификатор.
Еще один вопрос об этом – как я могу проверить, зарегистрирован ли пользователь (с сеансами)? Я создал сеанс:
$_SESSION['is_logged_in'] = true;
Опять же, не может ли пользователь просто создать сеанс, имя которого «is_logged_in», и его значение верно? или просто сервер имеет контроль над значением сервера?
Все переменные сеанса в PHP хранятся на стороне сервера. Клиент хранит файл cookie, который ссылается на этот сеанс, и затем сервер просматривает значения для сеанса. Безопасно хранить is_logged_in в вашей сессии, а также идентификатор пользователя.
То, о чем вы должны знать, это то, что если другой пользователь схватит cookie другого пользователя, он сможет имитировать этого пользователя до тех пор, пока сеанс не закончится. Одно простое решение – связать сеансы с IP-адресами.