No estoy exactamente seguro de cómo la$_SESSION trabajo en PHP. Supongo que es una cookie en el navegador emparejada con una clave única en el servidor. ¿Es posible falsificar eso y pasar inicios de sesión que solo usan sesiones para identificar al usuario.

Si$_SESSION no funciona así, ¿alguien puede falsificar cookies y omitir inicios de sesión?