黑客可以设置PHP会话变量吗？

我设置的安全检查的一部分是随机生成一个整数，作为存储为

$\u SESSION

变量的安全令牌。这是通过特定脚本验证的，并根据是否已验证将布尔值设置为true或false（如果通过其他检查，则允许进入站点）。黑客是否可能以某种方式设置此会话变量？如果是，怎么做？

只有在您允许的情况下才可以（另请参见：）

如果您的应用程序不允许攻击者控制

$\u会话

超全局的内容，那么他们完全无法控制它们。开箱即用，这是不可能发生的

攻击者控制会话内容的其他方法：

• 您将会话数据存储在数据库驱动程序中，但无法通过TLS或SSH连接到它
• 序列化会话数据并将其存储在cookie中，然后无法正确实现加密安全的消息身份验证

---

但一般来说，不是。

如果黑客可以设置会话变量，他也可以下载或修改您的所有代码。会话不太可能成为目标。一般来说不是。但应用程序中可能存在允许类似操作的漏洞。