Vol*_*erK 16
会话数据存储在服务器上.只有会话ID在客户端和服务器之间传回.除非服务器端脚本混乱(或存在错误),否则客户端无法直接更改会话数据.但是您必须确保只有"正确"的客户端知道会话ID,因为它将此特定客户端绑定到特定会话.例如(因为您提到了登录)每当执行登录(尝试)以防止会话固定时,使用session_regenerate_id()
会话存储在服务器上,可以存储在文件中,也可以存储在内存中.用户只拥有一个cookie,用于定义服务器上会话数据的路径(通常是某种形式的哈希值).从理论上讲,你可以将cookie更改为其他人的哈希,但这是非常非常不可能的,除非你将它们存储为文件并且在它们到期后不删除它们,在这种情况下,某人利用旧会话的可能性会增加.