嘿，这个问题问到点子上了，刚好是Laravel会话安全里的核心细节，我给你掰扯清楚：

答案是会，但风险点不在加密本身。

要搞明白：Laravel的会话加密，是把会话里的内容（比如用户ID、权限标识这些）加密存储——不管是存在用户浏览器的Cookie里，还是服务器端的文件/数据库中。但会话劫持的本质，是黑客拿到了有效的会话ID，而不是破解会话内容。

举两个常见的劫持场景：

• XSS攻击：如果你的网站存在XSS漏洞，黑客可以注入脚本读取用户的document.cookie，拿到会话ID。哪怕会话内容加密得再好，他只要把这个ID放到自己的浏览器里，Laravel就会认为他是合法用户——因为框架验证的是会话ID的有效性，而不是内容是否被篡改（加密确实能防篡改，但ID泄露才是劫持的核心）。
• 中间人攻击（MITM）：如果你的网站没强制开启HTTPS，黑客能拦截用户和服务器之间的通信，直接拿到传输中的会话ID，同样能伪装成用户登录。

所以说，加密会话防的是「会话内容被窃取或篡改」，但防不住会话ID泄露导致的劫持。Laravel默认的SameSite Cookie配置、HTTPS强制、会话自动过期这些，才是防劫持的关键手段。

这得分情况看，但用Laravel自带的会话系统的话，基本不可能：

• 如果是Laravel默认的「Cookie驱动」会话：用户浏览器里存的Cookie是经过加密+签名的。也就是说，你用session(['logged_in' => 1])存的值，会被Laravel加密成一串乱码，同时加上框架的签名。如果黑客用Cookie管理器改这个值，签名就会失效，Laravel会直接拒绝这个会话——因为它能检测到内容被篡改了。
• 如果是「服务器端驱动」（比如文件、数据库会话）：会话内容存在服务器上，用户浏览器只存会话ID。黑客没法直接修改服务器上的会话值，除非他拿到了服务器权限，或者通过XSS漏洞注入脚本去调用你的接口修改会话。

不过要提醒一句：如果你自己手动设置未加密的Cookie（不是用Laravel的session()方法），那黑客肯定能随便改。但只要用框架自带的会话功能，不管你存的是1还是布尔值，都是安全的。

另外多说一句：别自己用logged_in这种简单值来控制权限，直接用Laravel自带的Auth认证系统就行——它已经做了会话固定防护、登录态校验等一系列安全措施，比自己写的靠谱多了。

内容的提问来源于stack exchange，提问作者kodfire