我找了很多网上的教程，他们是在用户登录的时候把用户名和用户ID记录到session里面，也没有加密什么的，然后转到其他页面的时候就判断session存在与否然后直接取用，我想的是，session存在就是有效的吗？是不是可以在客户端伪造？我觉得是不是要在数据库里面存一个登录时的产生数据，同时也保存到session里面，然后等用户到下一个页面的时候验证客户端存的会话值跟数据库里的是否一致，然后再从数据库中找到对应的用户。是不是这种思路啊？

还有如果要加密的话一般怎么加密比较好？用哪个数值进行加密？

1. session存储在服务器上，是不可伪造的，你那个想法应该是可行的

2.
百度找到一答案 register_globals=off

3. 服务器会在HTTP头加上一个字段也就是SESSION的ID,对应后台的一个SESSION文件,要想伪造只能从这里入手