Eu estou codificando um site em PHP que contém o booleano$_SESSION['logged_in']. Isso está definido paratrue quando uma correspondência de nome de usuário e senha está presente no banco de dados.

Eu sou bem novo nas sessões e estava apenas imaginando se poderia ser possível para um usuário não registrado (ou, por esse motivo, registrado) ignorar o processo de login definindo este booleano comotrue, como seria possível com um cookie.

Eu entendo que o usuário teria que manipular uma variável do lado do servidor do lado do cliente, mas minhas perguntas são como isso seria fácil, como o usuário realizaria tal tarefa, se há alguma exploração conhecida e quais são as melhores práticas / medidas preventivas para evitar este tipo de ataque?