Можно ли редактировать PHP-сессии как файлы cookie? Или они хранятся на веб-хостинге?
Ключ сеанса хранится в браузере клиента, а данные хранятся на сервере.
Когда пользователь делает запрос на сервере, их сеансовый ключ отправляется по сети, а значения, связанные с их ключом, извлекаются из определенного файла сеанса на сервере и становятся доступными через $ _SESSION.
Это возможно для захвата другого сеанса пользователя, если ключ перехвачен, поэтому вы должны иметь определенные значения в сеансе, которые ассоциируются с компьютером / сетевым соединением пользователя (например, IP-адрес).
Данные сеанса не могут редактироваться пользователем, так как они хранятся на сервере. Однако пользователь может начать новый сеанс и отключить любые данные сеанса, которые он ранее имел. Кроме того, вы должны знать о несущественных проблемах безопасности , таких как фиксация сеанса.
Обычно они хранятся в каталоге / tmp веб-сервера, если хост не является осторожным. Это можно изменить с помощью session_save_path ( ), это то, что я делаю со всеми моими PHP-приложениями, использующими сеансы.
Это работает, как показано ниже:
SID идентификатора SID или сеанса с помощью файла cookie или URL-адреса. session_save_path() и не инициализирует массив Увы, единственное, что знает клиент, это идентификатор сеанса, но это может быть захвачено, например, с помощью похитителей файлов cookie или других методов сценариев Cross Site Scripting. Если бы я, например, получил вашу SO-сессию, SO не знал бы лучше, чем я. Если они также не проверили мой IP-адрес или что-то в этом роде.