这个问题在这里已经有答案了：

用户能否在php中更改$\u session的值(4个答案）
是否可以在客户端更改$会话变量[重复]（3个答案）
两年前关门了。
在php中，使用sessions从mysql数据库获取用户信息安全吗？或者会话可以由用户操纵。
让我们以下面的查询为例。

$query = $this->db->query("SELECT `private_info` FROM users 
                           WHERE user_id='$_SESSION['user_id']'");

如果我登录到一个网站，并且我的用户id存储在 SESSION ，（例如。 $_SESSION['user_id'] = 22 )，这个可以吗 $_SESSION['user_id'] 被用户操纵(eg更改 $_SESSION['user_id'] 至 100 ，这是另一个用户的 ID ).
上面的php查询依赖于 session[user_id] 获取用户信息时。用户可以操纵会话吗？如果可以的话，还有什么替代方法可以使用，而不是使用 user_id 存储在会话中？
另外，我使用codeigniter作为参考。
谢谢