¿Puede alguien falsificar una variable de sesión de PHP?

No. Los datos de la sesión se almacenan en el servidor.

El ID de sesión es lo único que se transfiere hacia atrás y hacia adelante entre el cliente y el servidor. Por lo tanto, a menos que el servidor sea pirateado o tenga un error del lado del servidor, el cliente no puede cambiar los datos de la sesión directamente. En su caso, el nombre de usuario en la variable de sesión parece ser parte del ID de la sesión o es su reemplazo (es poco claro).

Eso no significa que el sistema no tenga que asegurarse de que solo el cliente válido conozca el ID de sesión, porque eso es lo que vincula al cliente con la sesión específica. Es por eso que la función session_regenerate_id() debe usarse cada vez que se realiza un intento de inicio de sesión. Esto evita la fijación de sesión .

El ID de sesión de PHP emitido después de un inicio de sesión exitoso se genera en el lado del servidor y solo contiene datos aleatorios. El sessionid se envía como una cookie y se incluye en cada solicitud posterior del cliente.

Los datos de la sesión se almacenan en el servidor, y la identificación de la sesión se utiliza para hacer referencia a estos datos para cada solicitud. El sessionid de PHP se considera seguro.

Esto no siempre ha sido el caso. En versiones anteriores de PHP, la identificación de la sesión era aleatoria, pero el generador aleatorio solo fue sembrado por la hora actual del servidor, la dirección remota y la identificación del proceso. Una vez que un atacante pudo averiguar el estado del generador aleatorio, pudo predecir los ID de sesión anteriores y futuras. Consulte enlace

Esto hizo posible que los atacantes pudieran robar sesiones para otros usuarios.

Lo que ha sucedido desde entonces, es que PHP, además de la antigua generación débil, obtiene 32 bytes de una buena fuente aleatoria, como / dev / urandom en un sistema Linux.