Sicurezza $_SESSION php

akeeron

Sicurezza $_SESSION php

Ragazzi, studiando le Sessioni in PHP mi è venuto un dubbio, purtroppo non risolto dal mio manuale.
Ma nelle sessioni posso metterci dati sensibili? E soprattutto, queste possono essere modificate da un client esterno?
Faccio un esempio. Se una volta fatto il login memorizzo nella variabile di sessione $_SESSION = 'ADMINISTRATOR', è una falla nella sicurezza?
Voglio dire, nessun utente malintenzionato può modificare i propri dati di sessione "emulando" un nickname "administrator", vero?

comune

Lato client non puoi modificare le SESSION.

akeeron

Grazie per la risposta. Quindi mi posso fidare a controllare solo ed unicamente lo username pagina per pagina? E' sicuro al 100%?

comune

Certo, puoi memorizzare in SESSION e interrogare quella variabile. Il "limite" della sicurezza di questo approccio sta nell'eventuale lettura del SID (session ID).

jonnino

le sessioni funzionano così:
lato client viene memorizzato solo il session_id
lato server tutto il contenuto del'array $_SESSION
quindi puoi metterci tutto quello che vuoi anche la password dell'amministratore, come è stato già detto il punto debole è se lato client riescono a trovare il session_id appartenente ad un altro utente

enigma

A differenza di $_COOKIE quando utilizzi $_SESSION il client è a conoscenza esclusivamente dell'ID della sessione.

akeeron

Vi ringrazio per l'esaustive risposte!