Я кодирую сайт на PHP, который содержит логическое значение$_SESSION['logged_in'], Это установлено наtrue когда имя пользователя и пароль совпадают в базе данных.

Я довольно новичок в сессиях и мне просто интересно, может ли незарегистрированный (или, в этом случае, зарегистрированный) пользователь обойти процесс входа в систему, установив для этого логического значения значениеtrue, как это было бы возможно с печеньем.

Я понимаю, что пользователю придется манипулировать серверной переменной со стороны клиента, но мои вопросы состоят в том, насколько легко это будет сделать, как пользователь будет выполнять такую задачу, существуют ли какие-либо известные эксплойты и каковы лучшие практики / превентивные меры, чтобы избежать такого рода атак?