セッションでユーザーのIDをどのようにホストする必要がありますか? IDを挿入するだけですか?私は(例えば):セッションインジェクション?
$_SESSION['id'] = 1;
あなた自身で(クッキーとして)変更する方法はありませんか?もしそうなら、彼はどんなidにも変えることができるからです。
もう1つ質問があります。ユーザーが(セッションで)ログインしているかどうかを確認するにはどうすればよいですか?私は、セッションを作成しました:
$_SESSION['is_logged_in'] = true;
ここでも、ユーザーは、ちょうど彼の名前は「is_logged_in」で、彼の値がtrueのセッションを作成することはできませんか?またはサーバーだけがサーバーの値についての制御を持っていますか?
を参照してください:[PHPセッションの固定/ハイジャック](http://stackoverflow.com/questions/5081025/php-session-fixation-hijacking#5081453) –
それは動作するはずの方法は、セッションが制御され、サーバーのみ。そうではありませんが、ユーザは自分の名前が 'is_logged_in' *であるセッションを作成することはできないべきであり、あなたのセッション方法論に深刻な欠陥がない限り、記述する方法でセッションに影響します。 –
'$ _SESSION'の値はserversideだけに保存されています。ユーザーは、セッションIDを含むPHPSESSID Cookieのみを受信します。 PHPはこれを使用してセッションストア内のデータを検索します。 –