PHP 会话与 Cookie 安全审计（php-session-cookie-audit）

分析 PHP 项目源码中认证会话相关的安全设置与实现逻辑，重点检测：

• session fixation
• cookie flags 缺失（HttpOnly/Secure/SameSite）
• JWT 校验缺陷（签名算法混淆、未校验 exp/iss/aud、弱密钥）
• remember-me/持久登录弱点（若存在）

分级与编号

• 详见：shared/SEVERITY_RATING.md
• 漏洞编号：{C/H/M/L}-SESS-{序号}