请问骇客他们有办法从客户端设定Session的变量值吗？
还是Session变量值必须由服务器端的程式(PHP)设定才行？
例如有个Session变量叫$_SESSION['id']
骇客有办法不经过后端程式PHP就直接设定$_SESSION['id']的值吗？
谢谢

Session记在server上，前端无法设定或读取一般而言是安全的，除非碰到XSS但即使XSS成功也不能直接从前端修改

client的session id规则不要被猜到就好了

http-only设上去 他们就没办法从前端修改Cookie