Cita:
Iniciado por pateketrueke 
de hecho, creo que si las sesiones se guardan en el disco duro... se hace de modo serializado
así que, desde esta perspectiva... si, solo en el servidor... y siendo algún administrador, claro que puedes editarlas... pero es complejo (a menos que tengas un software o script que te lo permite)
Hola pateketrueke. De hecho no, las sesiones No se guardan en el disco duro del cliente. Es un tema que ya se discutió en
otro mensaje.
En el cliente se guarda una cookie, que únicamente tiene el id de la sesión. Por medio de esta cookie el servidor sabe qué sesión corresponde a cada usuario. Un archivo de sesión tiene este formato:
Nombre: sess_
09b237674e311832760187ee173a2046 (id de la sesión)
Este archivo se guarda en el servidor, en una carpeta predeterminada (Ver
session_save_path()). De ahí la importancia que esta carpeta esté fuera del Document Root, pues de lo contrario los datos de las sesiones podrían ser accesibles vía web.
Es cierto, el contenido se guarda serializado, pero no requiere ningún software especial para ser interpretado. Mira el contenido de un archivo de sesión simple:
Código:
65bb4661ff9317e6b07f4ca70c159ec0|a:7:{s:21:"session_user_uniqueid";i:-1;s:15:"session_lastact";i:1227489703;s:16:"session_location";s:12:"/favicon.ico";s:10:"session_ip";s:9:"127.0.0.1";s:10:"session_id";s:32:"09b237674e311832760187ee173a2046";s:7:"return2";b:0;s:6:"return";s:33:"http://blog.okram.com/favicon.ico";}
Vemos que sigue el patrón
id|
contenido, y contenido puede ser deserializado usando
unserialize(). Pero a menos que, como dije, la carpeta donde se guardan las sesiones sea pública y accesible; los datos son seguros precisamente porque nadie tiene acceso a ellos.
Saludos,
