Подмена сеанса (PHP)
Я кодирую сайт на PHP, который содержит логическое значение$_SESSION['logged_in']
, Это установлено наtrue
когда имя пользователя и пароль совпадают в базе данных.
Я довольно новичок в сессиях и мне просто интересно, может ли незарегистрированный (или, в этом случае, зарегистрированный) пользователь обойти процесс входа в систему, установив для этого логического значения значениеtrue
, как это было бы возможно с печеньем.
Я понимаю, что пользователю придется манипулировать серверной переменной со стороны клиента, но мои вопросы состоят в том, насколько легко это будет сделать, как пользователь будет выполнять такую задачу, существуют ли какие-либо известные эксплойты и каковы лучшие практики / превентивные меры, чтобы избежать такого рода атак?