我为受密码保护的页面创建了用户认证脚本。
在我的剧本的第一个版本,我开始通过检查用户名和密码匹配在数据库中的人,如果是,设置了$ _SESSION [“user_connected”]变量以及一个$ _COOKIE ['user_connected ']变量为TRUE。我的index.php文件通过验证是否已设置$ _COOKIE ['user_connected']开始,然后绕过数据库检查是否为true。
然后我意识到cookie可以被用户访问,并且有人可以简单地将$ _COOKIE ['user_connected']设置为TRUE,然后访问该站点并随之产生混乱。但是,$ _SESSION变量呢?如果用户连接,我可以安全地使用它们检查整个网站吗?
tl; dr:用户是否可以修改$ _SESSION变量?
可能重复[是否有可能由黑客编辑$ _SESSION?](http://stackoverflow.com/questions/1976821/is-it-possible-to-edit-session-by-hacker) – ThiefMaster