PHP会话只有在您的应用程序使其安全时才是安全的。 PHP会话将为用户提供一个伪随机字符串（“会话ID”）以便他们进行身份识别，但如果该字符串被攻击者截获，攻击者可以冒充该用户。

该怎么做

这些信息摘自"PHP手册中的会话管理基础知识", 但是简化了一些内容。可能会漏掉一些东西。请务必仔细阅读。

1. 始终使用 HTTPS

   • 防止攻击者读取会话ID cookie

2. 启用 session.use_strict_mode:

   • 拒绝未初始化的会话ID
   • 确保创建的任何会话都是有效的，因此您可以信任一个 prefix（例如，如果前缀是 $userId-）

3. 启用 session.use_only_cookies 并禁用 session.use_trans_sid

   • 避免用户通过共享包含会话ID的URL而意外共享会话ID
   • 防止会话ID出现在 Referer 标头中

4. 定期 重新生成会话ID 并 在重新生成后不久使旧的会话ID失效

   • 如果攻击者使用另一个用户的会话ID，则重新生成将使用户或攻击者的会话无效，具体取决于哪个请求重新生成ID。然后，您可以跟踪某人尝试使用已经重新生成的会话的时间，并在那时使重新生成的会话无效。用户将能够登录，但攻击者（希望如此）将无法登录。

5. 可选地在 $_SESSION 中跟踪与请求相关的其他信息（IP地址、用户代理字符串等）

   • 如果攻击者以某种方式获得会话ID，则可能可以在攻击者访问任何数据之前检测到入侵。但是，请记住，这可能会恶化用户体验。例如，当用户从移动网络切换到Wi-Fi时，IP地址可能会更改，并且当其浏览器自动更新时，用户代理字符串可能会更改。根据您的网站愿意处理的权衡调整要检查的数据。

不可以，会话是存储在服务器上的，用户无法访问。它用于在整个网站中存储信息，例如登录会话。

以下是使用示例：

<?php
session_start();
if (password_verify($_POST['password'], $hash)) {
    $_SESSION['auth'] = true;
}
?>

通过这种方式，可以跨站点访问会话以检查用户是否已被验证。

<?php
session_start();
if ($_SESSION['auth']) {
    echo "You are logged in!";
}
?>

用户无法编辑这些值，但是会话ID作为一个长的随机字符串通过cookie存储在计算机上。如果未经授权的用户获取了这些字符串，他们就可以访问该网站。

用户无法编辑这些值，但是会话ID以一串长的随机字符串的形式存储在计算机的cookie中。如果未经授权的用户获得了这些字符串，他们就可以访问该网站。

如果这样做：

$_SESSION['user'] = $username;

然后$username不会直接存储在cookie中。相反，将生成一个唯一的会话ID并存储在cookie中。
您在$_SESSION中存储的信息仅存储在服务器端，永远不会发送到客户端。在客户端发出后续请求时，当您执行session_start()时，服务器将通过cookie中存储的ID加载会话数据。
它相对安全。唯一可能发生的事情是有人可能会截取会话ID，从而窃取真正用户的会话。但HTTPS可以防止这种情况发生。

回答这个问题需要两个方面的方法：

1. 对于大多数用例而言，PHP会话ID足够难以猜测。与其他广泛使用的系统相比，难度不大也不小。

2. 仅信任会话cookie（仅存在会话cookie）从安全角度来看似乎不是很可靠，无论这个会话cookie来自哪里 - PHP还是其他地方。

因此，简而言之：PHP会话的安全性取决于您对它们的使用。对我所知道的任何基于会话cookie的系统都是如此。

既然你是C++程序员，那么你只需要知道客户端可见的会话只是指向不同地址空间（服务器）的指针，因此，无法从客户端模式访问该会话。

无论你在这个话题上得到什么答案，你最可能不会满意，因为关于这个话题有很多不同的观点。甚至还有整本书都是关于 PHP 会话和安全性的。
在这里你能得到的最好的答案可能是“会话的安全性取决于你想让它们有多安全”。更多的工作和更多的预防措施显然会使它们更安全，但是实现本身将消耗更多的时间。就像每件事情一样，你需要衡量什么程度的安全对你的需求来说足够安全。