Question

Buen dia, mi duda es ¿Es posible ver las variables de Session de php y su valor?
Ejemplo:

$_Session['variable'] = 'pepe pecas';

Que el usuario o "persona mal intencionada" pueda ver que existe una variable de session llamada 'variable' cuyo valor es 'pepe pecas'

Answer 1

La sesión es información almacenada en el servidor y que puede ser accedida desde el script PHP que se ejecuta en el lado del servidor. Lo que puede guardarse en el lado del cliente, en función de cómo esté configurado, es una cookie que identifica la sesión.

Mucha más información: http://php.net/manual/es/session.security.php

Answer 2

Como dice @carlossevi, no se puede ver el contenido de $_SESSION desde un navegador, ya que se almacena en el servidor.

Respondo para ampliar: lo que hay en el cliente es una cookie que tiene un ID único. Ese ID único más un prefijo es el nombre del archivo en el servidor, en un directorio que no es público, que tiene los datos de sesión, tanto nombres como valores.

El contenido del archivo tiene el formato de la salida de serialize() sobre el vector $_SESSION, pero para leerlo, se tiene que tener acceso al disco del servidor.

Si PHP tiene el módulo de seguridad Suoshin, los datos del archivo de sesión con los valores estará además cifrado, así que es más ilegible.

Como tip de seguridad, revisá en la salida de phpinfo() cuál es el directorio de save_session_path para estar seguro de que no está en una ruta pública, lo cual sí haría visible el contenido.

Saludos cordiales!