https://stackoverflow.com/questions/7616265/session-injection
O ile mi wiadomo, nie można podmienić sesji, ponieważ jest ona server-side, a nie client-side. Dodatkowo, jeśli ta sesja jest przechowywana na serverze, to user nie ma jak wstrzyknąć swojego kodu i napisać coś takiego:
$_SESSION['my_session']=false;
// chcę podmienić sesję na true, by się móc zalogować
curl_injection_session($curl_handle,'my_session',true);
// to jest pseudokod, funkcja powyżej nie istnieje
Nie ma takich funkcji w ogóle, nie da się wstrzyknąć (SESSION INJECTION), po to, to zostało wymyślone, aby nie dało się podmieniać wartości sesji SESSION. Po pierwsze, to trzeba byłoby znać zapewne nazwę sesji, a po drugie to musiałoby być stworzone coś, co pozwoliłoby na wstrzyknięcie własnych danych do kodu server'a, by podmienić wartość. A tej jak się nie pozwoli np. poprzez bazę danych, to nie ma się jak zmienić. Co innego z danymi przesyłanymi protokołem POST i GET, to są zmienne serverowe (transferowe), a nie daną wartością, którą ma zrozumieć tylko server. To tak jakbyś chciał podmienić zwykłą zmienną, nie sesyjną, np.: ($var = 5;). Nie da się tego zrobić. Musiałbyś specjalnie na to pozwolić, np. poprzez skrypt z plikami, który podmieniłby twój kod na user'a.