Здравствуйте.На данный момент я плохо разбираюсь в механизме работы сессии, поэтому возник следующий вопрос.На сайте имеется система администрирования, которая работает так-при вводе определенного email и пароля, принадлежащих администратору, создается сессия, в глобальный массив $_SESSION['admin'] записывается объект.Далее админа перебрасывает функцией header на страницу администрирования(на ней можно добавлять товары в базу данных).На этой странице прописано условие if(!isset($_SESSION['admin'])), которое срабатывает при пустом значении глобального массива, перекидывая пользователя на страницу с авторизацией.Оно нужно для того, чтобы в случае несанкционированного доступа к странице админа не позволить кому-то воспользоваться функциями админа.Может ли неизвестный пользователь каким-то образом создать на отдельной странице сессию и глобальный массив с именем admin и таким образом обойти защитное условие на странице админа?Функция isset просто проверяет, не пустое ли значение чего-либо, поэтому, записав в массив что угодно, несанкционированный пользователь обойдет это условие.
Ну если настроить сессии нормально, и не ходить по ссылкам странным, где могут угнать сессию, или дырявые xss гостевые не пользовать. Если угонят куку, то админ будет любой, если это домашний сайт, то сильно не думайте за это
