Như tôi đã hiểu, phiên này chỉ được lưu trữ ở phía máy chủ. Id người dùng (hoặc id phiên) cho phiên được lưu trữ trong cookie hoặc url. Vì vậy, một người dùng, ngay cả khi anh ta hoặc cô ấy là một siêu hacker, không thể thay đổi cục bộ bất kỳ biến số $_SESSION nào tôi sử dụng trên trang web của mình ngoại trừ id phiên hoặc id người dùng?
Trong hầu hết các thiết lập, dữ liệu của phiên được lưu trữ trên máy chủ và số nhận dạng của nó được lưu trữ trong cookie. Nếu bạn không chơi xung quanh với các cài đặt hoặc trình xử lý phiên tùy chỉnh, thì điều này sẽ phù hợp với bạn.
Ok, tôi sẽ cắn. Tại sao * Thông thường. *? –
@JaredFarrish: Bạn có thể sử dụng 'session_set_save_handler()' để gửi dữ liệu đến máy khách. Không phải là bạn sẽ, nhưng nó có thể. – alex
Eh ... Tôi có thể nói "Phiên mặc định được lưu trữ trên máy chủ. Có thể định cấu hình máy chủ để lưu trữ dữ liệu phiên làm dữ liệu phiên có liên quan đến máy chủ trên máy khách, tuy nhiên, điều này không phổ biến và không phải là PHP được định cấu hình để xử lý các phiên trong tất cả trừ các trường hợp đặc biệt ". –
Có, dữ liệu phiên chỉ có trên máy chủ. –
Cho dù một "siêu hacker" có thể sửa đổi thông tin trên máy chủ là một vấn đề hoàn toàn khác. Và, về mặt kỹ thuật, bạn nên biết về [phiên cố định] (http://en.wikipedia.org/wiki/Session_fixation). –