С чем едят сессии

[LEXAlForpostl]

Здравствуйте.
Почитал матчасть про сессии.
Единственное не понял, можно ли получить значение сессии на стороне клиента. В одном из источников говорилось, что данные шифруются. Но если можно будет дешифровать данные, то тогда при авторизации надо передавать не ID юзера, как это было показано в одном из примеров, а какое-то секретное слово, которое брать из БД. Но тогда при каждом запросе надо делать +1 запрос к БД? Не очень оптимально. Может быть есть ещё какие-либо варианты?

 

[fpinger]

Данные сессии хранятся на стороне сервера и по умолчанию в виде файла. Откуда у вас в "прочитанной матчасти" взялась БД?

 

[LEXAlForpostl]

Данные сессии хранятся на стороне сервера

При передаче сессии клиенту, клиент может отредактировать данные?
Если я ему передам ID юзера, он напишет вместо своего, например, 1 и это будет айди администратора, злоумышленник получит доступ к сайту. Или я не правильно мыслю?

Откуда у вас в "прочитанной матчасти" взялась БД

Пример с БД - это мои размышления по поводу того, как недопустить того, чтобы злоумышленник не выдавал себя за другого человека.

 

[fpinger]

Клиенту передаётся идентификатор сессии.
Данные хранятся на стороне сервера.
Можно попытаться на стороне клиента подменить идентификатор сессии, но для этого нужно знать таковой для того, чьи права хочешь получить (грубо говоря ты подменяешь чужой браузер и попадаешь в контекст другого пользователя). Это не так просто. В любом случае перебор не вариант. Кроме того на стороне сервера ещё может отслеживаться соответствие IP и идентификатора сессии. Но это не штатными средствами сессии.