В настоящее время я делаю сайт на php, мы используем переменную Session для хранения уровня разрешений каждого пользователя.

Например, если кто-то из вас зайдет на сайт, вы автоматически получите переменную сеанса со значением «member».

Я спрашиваю: может ли злоумышленник зайти на сайт и изменить значение переменной сеанса для «admin» вместо «member»

Я не спрашиваю, как, просто если это возможно, и если да, то какой особый доступ потребуется злоумышленнику (например, доступ к коду, ....)

У меня есть альтернативное решение, которое заключается в замене значения разрешения токеном, срок действия которого истекает со временем.

Второе решение гораздо дольше реализовать.

Спасибо за вашу помощь!