Я не совсем уверен, как $ _ SESSION
работает в PHP. Я предполагаю, что это файл cookie в браузере, которому соответствует уникальный ключ на сервере. Можно ли подделать это и пропустить вход в систему, при котором сеансы используются только для идентификации пользователя.
Если $ _ SESSION
не работает таким образом, может ли кто-то потенциально подделать файлы cookie и обойти вход в систему?