Jestem przede wszystkim programistą C ++, ale staram się zdobyć trochę PHP.

Najwyraźniej sposobem implementacji sesji użytkownika WWW jest przechowywanie identyfikatora logowania użytkownika w pliku cookie przy użyciu zmiennej $ _SESSION.

Czy ktoś nie może po prostu zmodyfikować swojego pliku cookie, nadać im różnych przywilejów lub zalogować się jako inny użytkownik?

Wygląda na to, że mechanizm uwierzytelniania polega na tym, że użytkownik zapisuje swój identyfikator w pliku, a następnie po prostu wierzy, że go nie zmieni.

Czy jest coś, co temu zapobiega?

Dzięki!