請問駭客他們有辦法從客戶端設定Session的變數值嗎？
還是Session變數值必須由伺服器端的程式(PHP)設定才行？
例如有個Session變數叫$_SESSION['id']
駭客有辦法不經過後端程式PHP就直接設定$_SESSION['id']的值嗎？
謝謝

Session記在server上，前端無法設定或讀取一般而言是安全的，除非碰到XSS但即使XSS成功也不能直接從前端修改

client的session id規則不要被猜到就好了

http-only設上去 他們就沒辦法從前端修改Cookie