0
我爲受密碼保護的頁面創建了用戶認證腳本。
在我的劇本的第一個版本,我開始通過檢查用戶名和密碼匹配在數據庫中的人,如果是,設置了$ _SESSION [「user_connected」]變量以及一個$ _COOKIE ['user_connected ']變量爲TRUE。我的index.php文件通過驗證是否已設置$ _COOKIE ['user_connected']開始,然後繞過數據庫檢查是否爲true。
然後我意識到cookie可以被用戶訪問,並且有人可以簡單地將$ _COOKIE ['user_connected']設置爲TRUE,然後訪問該站點並隨之產生混亂。但是,$ _SESSION變量呢?如果用戶連接,我可以安全地使用它們檢查整個網站嗎?
tl; dr:用戶是否可以修改$ _SESSION變量?
可能重複[是否有可能由黑客編輯$ _SESSION?](http://stackoverflow.com/questions/1976821/is-it-possible-to-edit-session-by-hacker) – ThiefMaster