我有一個Web應用程序，我想改善它的安全漏洞，我讀了很多關于它的文章，但有些問題仍然沒有答案。感謝您的幫助。首先，我有一個登錄屏幕。用戶輸入其憑據后，將根據數據庫檢查它們（它們被正確散列;)），如果成功，服務器將創建一個會話變量//Jhon id = 1    $_SESSION["userID"]= '1';在每個php文件（例如儀表板.php）的開頭，我有以下代碼：       session_start();        if(isset($_SESSION['userID'])) {            if($_SESSION["userID"]==""){header("location:login.php");}        }else{            header("location:login.php");        } ?>    <html ...為了改進維護，我想將此代碼包含在外部php文件中，例如include('inc/restricted.php');?>        <html ...我的兩個主要問題是：1）如果入侵者處理損壞或拒絕訪問受限.php，儀表板.php的其余部分會顯示出來嗎？有可能做這樣的事情嗎？如果是，如何以將安全代碼作為外部文件包含在內的方式進行修復？2）正如你所看到的，我的會話變量的值很簡單（整數），我應該將它們更改為哈希值嗎？我以為php會話存儲在服務器端，但我讀到一些存儲在cookie上的php會話變量，現在我擔心創建具有隨機數和授予訪問權限的cookie的機會。