Sessões são recursos simples e muito úteis da linguagem PHP para armazenamento de dados para um usuário individual. Considerando o uso de segurança em sessões, marque a alternativa correta.

Vamos analisar cada alternativa à luz de boas práticas de segurança em sessões PHP.

a) Falsa. Sessões com curta duração (timeout menor) tendem a reduzir a janela de oportunidade para sequestro de sessão (session hijacking). Em geral, aumentam a segurança (embora possam piorar a usabilidade).

b) Falsa. A renovação do ID (ex.: session_regenerate_id(true)) troca o identificador da sessão para mitigar fixation/hijacking, mantendo os dados da sessão (ou seja, não é “alterar os dados sem trocar o identificador”; é o contrário: troca o identificador preservando os dados).

c) Falsa. Sessões podem ser destruídas manualmente pela aplicação (ex.: session_destroy(), limpeza de variáveis de sessão, invalidação no servidor). Não dependem apenas de expiração automática.

d) Falsa. Por padrão, os dados de sessão não são criptografados automaticamente pelo PHP. Em geral, eles são serializados e armazenados (por padrão) em arquivos no servidor; criptografia exigiria configuração/implementação adicional.

e) Verdadeira. É possível armazenar sessões em banco de dados (via session handler). Isso pode aumentar a segurança e o controle (por exemplo, facilitar invalidação centralizada, auditoria, políticas de expiração, evitar exposição por permissões incorretas em arquivos, etc.), além de ajudar em ambientes com múltiplos servidores.

Alternativa correta: (e).