Может ли какой нибудь хакер Вася)) в свою сессию, которую мы ему создали после авторизации, записать какие нибудь данные или поменять их)?

То есть к примеру, после авторизации мы записали в сессию $_SESSION['name']=вася . может ли этот пользователь вася поменять к примеру свое имя в сессии на Кирилл? я понимаю что сессии храняться на сервере, и прямого доступа у васи к ним нет, но думаю некоторые умельцы способны на такое.



Потому что столкнулся вот с какой отягощающей мой ум ерундовой проблемой) В сессию записываю много данных, все их экранирую с mysql_real_escape_string . Соответственно в сесии у нас уже хранятся экранированые данные. На другой странице используя эти данные из сессии надо отправлять запрос в БД, вот собственно и переживаю что вдруг какой то умелец перезапишет мои экранированные данные на другие, и пошлет уже их запросом к БД

Если какой-то "хакер-Вася" получил доступ к файлам сессий, а они как правило хранятся выше web root, то наличие не экранированных данных будет вашей меньшей из проблем. В свою очередь этот Вася найдет чем себя занять более интересным чем удалять бэкслеши из ваших запросов.

У функции mysql_real_escape_string первое слово явно указывает на то, где должны обрабатываться данные. В запросе, а никак не в сессии. Если функции применять там, где нужно, а не там, где попало, таких вопросов не может возникнуть априори.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.