Citat:
kad zapišem sessiju u firefoxu kad gledam zapisane Cookiese vidim i PHPSESSIONID koji je nekako šifrovan
Nije ništa šifrovano nego je to Session ID koji po
default-u ima 32
random karaktera pa izgleda možda da je šifrovano. Ti možeš da staviš da ti tu piše i "pera" ako hoćeš..
Citat:
pa me interesuje dali je moguće nekome da vidim preko svog brovsera vrijednost sesije nekog drugog sajta
Misliš na nekog korisnika na nekom drugom sajtu.. Ako je to, onda može na neki način da ako sajt ima neki XSS vuln (google za više detalja).
Citat:
znam da su sesije snimljene na serveru al ovo me malo buni sad sto se sesije sa localhostu pojavljuju u ovom firefox-ovom tool-u za gledanje cookies-a.
Sama sesija i njeni podaci jesu na serveru ali server mora da zna kom korisniku pripada određena sesija. Zato on zabeleži ID sesije kod korisnika u obliku "kolačića" (ili na neki drugi način ako je drugačije definisano) i kad korisnik opet pristupi sajtu, server pročita ID i korisnik opet ima svoju sesiju.
Citat:
ovo me interesuje jer planiram praviti loginovanje koje ce imati zapisan u sebi samo ID korisnika, pa ako je moguce da neko zapisuje sessije, onda bi bilo jednostavno zapisati i userID administratora i biti logovan kao administrator...
Naravno. To je loša realizacija datog primera. Imaš na google dosta stvari o tome pa pogledaj:
http://www.google.rs/search?hl=sr&q=php+login
p0z