Não tenho muita certeza de como o$_SESSION trabalho em PHP. Presumo que seja um cookie no navegador que corresponde a uma chave exclusiva no servidor. É possível falsificar isso e passar por logons que usam apenas sessões para identificar o usuári

E se$_SESSION não funciona assim, alguém pode potencialmente falsificar cookies e ignorar logins?