Несмотря на то, что переменные сеанса хранятся на сервере, единственной реальной защитой является файл cookie сеанса, который, если он скомпрометирован, позволит любому другому посетителю начать тот же сеанс, следовательно, сможет видеть страницу так же, какисходный посетитель.
Сеансовый cookie - это просто случайная строка, сгенерированная PHP, и ее можно просмотреть в виде обычного текста (если вы не используете SSL) для любого «человека посередине», что делает возможным захват другогочеловеческая сессия.
Хранение любых конфиденциальных данных является потенциальной проблемой безопасности, поэтому для обработки информации о кредитных картах сегодня вам необходим сертифицированный PCI-DSS хостинг и среда.Это применимо даже в том случае, если вы никогда не «храните» его на своем сервере, если поток информации, проходящий через ваше оборудование, должен соответствовать требованиям PCI-DSS.
Причина этого заключается в том, что он всегда будет доступен в какое-то время в памяти компьютера, и на взломанном компьютере может быть установлено вредоносное программное обеспечение, которое может идентифицировать эти данные и распространять их с плохими намерениями.