Según tengo entendido, una sesión se almacena solo en el servidor. La identificación de usuario (o ID de sesión) para la sesión se almacena en una cookie o url. Entonces, un usuario, incluso si es un super hacker, no puede cambiar localmente las variables $_SESSION que utilizo en mi sitio, excepto la identificación de la sesión o la identificación del usuario.
En la mayoría de las configuraciones, los datos de la sesión se almacenan en el servidor y su identificador se almacena en una cookie. Si no ha jugado con configuraciones o manejadores de sesión personalizados, así será para usted.
Ok, voy a morder. Por qué * Por lo general. *? –
@JaredFarrish: puede usar 'session_set_save_handler()' para enviar los datos al cliente. No es que lo harías, pero es posible. – alex
Eh ... podría decir "Las sesiones están almacenadas de forma predeterminada en el servidor. Es posible configurar un servidor para almacenar datos de sesión como datos de sesión relevantes para el servidor en el cliente, sin embargo, esto no es común y no es así como PHP está configurado para manejar sesiones en todos los casos, excepto en casos especiales ". –
Sí, los datos de la sesión están en el servidor solamente. –
Si un "super hacker" puede modificar la información en el servidor es otro problema. Y, técnicamente, debe saber sobre [fijación de la sesión] (http://en.wikipedia.org/wiki/Session_fixation). –