现在我不关心数据传输 – 没有中间人,这是http和https的工作.

据我所知,PHP使用http cookie识别会话.但是,如果有人尝试暴力猜测会话ID会发生什么？

解决方法:

可以安全地假设没有什么是安全的..

> http://en.wikipedia.org/wiki/Session_hijacking
> https://www.owasp.org/index.php/Session_hijacking_attack
> http://www.serversidemagazine.com/php/session-hijacking/