PHP Superglobals 有不同的行為方式，我不確定該使用哪一種。客戶端（我說的不是黑客或安全攻擊，而是“普通用戶”）何時(shí)可以編輯、創(chuàng)建或訪問超全局變量？甚至php.net文檔也沒有談?wù)撨@個(gè)事實(shí)。根據(jù)我到目前為止所學(xué)的知識(shí)，我可以這樣總結(jié)它們：superglobal     read      create      edit$_GET           V         V           V$_POST          X         V           X$_FILES         X         V           X$_SESSION       ?         X           X$_COOKIE        V         V           V我不是在談?wù)撃愕?PHP 腳本，當(dāng)用戶發(fā)送表單或類似的東西時(shí)，它會(huì)創(chuàng)建一個(gè)SESSION變量，但我在談?wù)撨@樣一個(gè)事實(shí)，即任何人都可以在 DOM 中添加一個(gè)偽造的表單來發(fā)布任何東西或使用一個(gè)簡(jiǎn)單的像EditThisCookie這樣的Chrome 擴(kuò)展程序可以讀取、創(chuàng)建或編輯任何COOKIE。所以：我的桌子對(duì)嗎？我不確定某些要點(diǎn)，出于安全原因，它們至關(guān)重要我應(yīng)該在哪里存儲(chǔ)敏感數(shù)據(jù)，例如訪問令牌或用戶ID？我一直將ID存儲(chǔ)在COOKIE中，因?yàn)槲铱梢栽O(shè)置它的過期時(shí)間，然后我發(fā)現(xiàn)任何人都可以偽造它們。如果沒有辦法阻止它，我將被迫使用SESSION，問題是它與瀏覽器會(huì)話一起過期（當(dāng)用戶關(guān)閉其瀏覽器時(shí)，他將失去其登錄會(huì)話）。或者有時(shí)我使用POST方法來驗(yàn)證調(diào)用來自特定頁面，但后來我意識(shí)到客戶端可以讀取該表單的內(nèi)容并從任何地方偽造它。我也應(yīng)該為此目的使用SESSION嗎？