Eu sou principalmente um programador de C ++, mas estou tentando pegar algum PHP.

Aparentemente, a maneira de implementar as sessões do usuário da web é armazenar o ID de login do usuário em um cookie usando a variável $ _SESSION.

Não é possível que alguém apenas modifique o cookie, conceda privilégios diferentes ou faça login como usuário diferente?

Parece que esse mecanismo de autenticação está apenas fazendo com que o usuário armazene seu ID em um arquivo - e apenas confiando neles para não alterá-lo.

Existe algo que impede isso?

Obrigado!