$_SESSION sunucu tarafı saklanır. Bir hacker yapabileceği en iyi mevcut oturum için başka bir kullanıcının oturumunu yerine olurdu, ancak korsan $_SESSION rasgele veri eklemek olamazdı. $_COOKIE Ancak, depolanan istemci tarafı, yani bir hacker sadece çerezi düzenleyerek, çerez içine rasgele veri ekleyebilirsiniz, olduğunu.

Varsayılan olarak, $_SESSION zaten phpsessionid (sunucu istemci tanımlamak ve sunucunun belleğinde oturumları biriyle ilişkilendirmek mümkün olduğu kadar) adı ile bir cookie tarafından desteklenmektedir . Bir hacker başkası ve aynı etki / yolda aynı adla kendi çerez kopya onu çerez değerini bilir, o korsan aynı $_SESSION erişimi vardır. Çerez değeri ancak uzun ve oturumu yarım saat (varsayılan oturum zaman aşımı) içinde Kaçırılmış olma riskleri en aza indirmek için yeterli rastgele.

Eğer oturumları (oturum kaçırma) değiştiren kişiler hakkında endişeli iseniz session_regenerate_id() içine bakmak

$ _SESSION Web sunucusu üzerinde saklanan, bu nedenle doğrudan web üzerinden değiştirmek mümkün değildir edilir. Tabii ki, PHP uygulama $ _SESSION güncelleyebilirsiniz, böylece bir saldırgan o olmamalıdır $ _SESSION için bir şey yapıyor içine uygulama kandırmak için hala mümkün olabilir - bu tüm uygulama özelliklerine bağlıdır.

$ _COOKIE Kullanıcı kendi çerezlerini değiştirme gücüne sahip olduğu anlamına gelir, kullanıcının tarayıcısına saklanır.

Kurabiye için ana kullanan bir kimlik doğrulama olduğunu. Bir kullanıcı günlükleri ve bilgi $ _SESSION saklanır. Uygulama oturum açmış kullanıcıya aittir hangi oturum bilir ki ($ _COOKIE depolanan) bir çerez kullanıcının oturum kimliğini kaydeder.

Çerezler kullanıcı ajan aracılığıyla bir sayfa istendiğinde her zaman gönderilir. User-agent bir tarayıcı olması gerekmez. Bu küçük kabuk komut olabilir. Bunun bir tarayıcı olsa bile, Firefox için bir "düzenleme çerez" uzantısı var.

$ _COOKIE Istemci web sunucusuna gönderilen bilgileri içerir. En sık bu tarayıcı çerezlerin içeriği olan ancak t HİÇBİRŞEY içerebilir, bu yüzden güvenmiyorum.