В частности, в PHP стандартным способом работы сеансов является то, что PHP генерирует случайный идентификатор сеанса и помещает его в файл cookie. (По умолчанию он называется PHPSESSID). Этот файл cookie обрабатывается браузером путем его локального сохранения на компьютере пользователя и отправляется с каждым запросом в домен, к которому он принадлежит.
Этот идентификатор сеанса затем используется для ссылки на хранилище данных на сервере, по стандартному расположению в / tmp / при установке apache в linux. Именно здесь все в массиве $ _SESSION хранится между запросами.
Как вы можете заметить, это настолько же безопасно, как и cookie, поскольку между пользователем и сервером нет реальной аутентификации, согласно которой пользователь является "реальным" владельцем идентификатора сеанса. Это означает, что так называемый «перехват сеанса» возможен путем отслеживания cookie и вставки cookie с идентификатором сеанса на компьютер злоумышленника. Это может быть использовано, чтобы захватить учетную запись на веб-странице и просматривать ее так же, как если бы вы были первоначальным пользователем, поскольку для сервера вы .
Существует также альтернативный, еще более небезопасный, способ поддерживать сеанс, поддерживаемый PHP. Это делается путем отправки идентификатора сеанса в виде переменной GET с каждой ссылкой. Как вы можете заметить, это означает, что если пользователь просто скопирует одну из этих ссылок, он выдаст все свои учетные данные. =)
Дополнительную информацию можно найти в руководстве по PHP .