Я в первую очередь программист на С++, но я пытаюсь забрать некоторый PHP.
По-видимому, способ реализации сеансов веб-пользователей состоит в том, чтобы сохранить идентификатор входа пользователя в файл cookie с использованием переменной $_SESSION.
Невозможно ли кому-то просто изменить свой файл cookie, предоставить им разные права или войти в систему как другой пользователь?
Кажется, что этот механизм проверки подлинности имеет только то, что пользователь хранит их идентификатор в файле, а затем просто доверяет им не изменять его.
Есть ли что-то, что мешает этому?
Спасибо!