Можно ли подменить сессию?

Question

[Uber Noob]

На странице авторизации если логин/пароль совпали с данными из БД:

session_start(600);
$AUTH_STATUS = true;
$_SESSION['userid'] = $AuthRes[0]['id'];
setcookie("$NameCookie1", "$NameCookie2", time()+3600);

На остальных страницах куки не используются, юзается только сессия:

session_start(600);
if(!isset($_SESSION['userid']) || !isset($_SESSION['mail'])){
    // редирект на страницу авторизации
}

Данные суперглобального массива $_SESSION юзер я так понимаю может увидеть у себя в браузере с помощью инструментов разработчика. Может ли он подменить userid на другой и увидеть таким образом данные другого аккаунта?

Answer 1

[xmoonlight]

Данные суперглобального массива $_SESSION юзер я так понимаю может увидеть у себя в браузере с помощью инструментов разработчика

учите мат.часть!

Comments

[Uber Noob]

Какую именно часть матчасти? Ну сессии хранятся на сервере. Хотите сказать юзер никак не может их увидеть или подменить?

[xmoonlight]

ubernoob: Сессии в PHP

[Immortal_pony]

ubernoob, Пользователь видит только идентификатор сессии, все же данные из суперглобального массива хранятся в файле на сервере и пользователю никак не доступны.

Answer 2

[Артем Кисленко]

Массив $_SESSION - это то, что у вас хранится на жестком диске на сервере.
Пользователь может увидеть $_COOKIE.

У каждого $_SESSION есть session_id(), который кладется в $_COOKIE['session_id'] (ключ взял из головы, забыл как он называется). Теоретически, пользователь может подменить свой $_COOKIE['session_id'], на $_COOKIE['session_id'] другого пользователя, если его каким-то образом получит. Но по-сути, это эквивалентно тому, что злоумышленник, сел за ПК другого пользователя и использует браузер, чтобы делать, что-то там на вашем сайте.
Злоумышленник может скопировать куки, чтобы уже на своем ПК зловредить, но чтобы этого не произошло, вы должны ограничить время жизни сессии и\или вовремя генерировать новую. Как-то так, надеюсь помог.