Php 用户可以操纵cookies吗？

我有一个关于cookies用于标准登录目的的问题。假设我的php脚本在用户每次登录时都将一个cookie保存到用户的计算机中。cookie值是在其网站用户名后加上“Mike”。该用户是否可以通过某种方式操纵浏览器中的cookie，将值更改为“Admin”，从而突然访问网站的管理

如果发生这种情况，如何解决此类安全风险

--

另外。。。如果有人从我的浏览器中复制cookie，他会盯着我的计算机屏幕，将cookie和值复制到他的计算机中，或者这样的入侵者可以通过JavaScript从我的浏览器中窃取cookie

---

这是如何处理的？

是的，如果cookie存储在计算机上，用户可以对其进行操作。 使用一个

是

他们可以操纵、编辑、修改、创建和删除cookie

---

您应该只存储在服务器上用于在数据库中查找任何安全内容的哈希键。

是的，用户可以操作cookie。最好的处理方法是不要以这样的方式存储用户凭据，即他们可以通过更改用户名获得管理员访问权限

---

关于如何做到这一点的细节相当深入，但是一个好的开始是只存储用户的会话标识符。这有其自身的问题，但不会让人们如此轻易地破坏东西。

是的，这是一个安全问题，它扩展到了客户端提供的任何信息

Cookie存储在用户的机器上。它们可以以任何方式进行修改。事实上，cookies可以动态创建，并通过多个实用程序发送以发出HTTP请求。这甚至不是浏览器的问题

---

永远不要信任来自客户端的任何数据。

Cookie是客户端的，这意味着客户端可以读取、写入和删除它们。cookie管理器插件使更改cookie值变得更容易

---

是的，用户只需进入cooking选项即可轻松操作cookie，所有流行浏览器都提供了该选项。

一个“会话”是连接相关信息的服务器端存储，该信息通过一个来回传递的变量链接到用户，最常见的是一个cookie，无论其逻辑如何，只要客户机和服务器都能处理，任何地方都可以

此“会话”通常由客户端和服务器都知道的整数表示

问题是，如果另一个客户端在服务器上打开了一个会话，我们（作为客户端）可以通过用随机id替换给定id来“hi jack”该会话，直到找到一个为止。服务器现在会认为我们实际上是另一个用户，可以让我们访问他们的私人信息

---

因此，我们有“钥匙”。密钥是一种独特的、通常是字母数字的代码，在服务器的每个请求-响应对上都会更改，以确保只有拥有最新密钥的人才能访问。

是。不要在cookie中存储您不希望篡改的信息。你可以使用会话来代替。正如瓦利德所说，是的，这是可以做到的。是的。您可以考虑使用会话来存储信息，但会话会增加服务器资源的开销