Когда вы вызываете session_start(), сценарий попытается установить cookie в браузере пользователей, содержащем идентификатор сеанса, нет необходимости вручную устанавливать файл, содержащий «не угадываемое значение», так как это идентификатор сеанса должно быть в любом случае.
Вы можете изменить session.cookie-lifetime в ini-файле (возможно, даже с ini_set()), чтобы предотвратить истечение времени ожидания файлов cookie в конце сеанса.
Сохранение $_SESSION приведет к , а не , что приведет к бесконечному накоплению файлов сеанса. Если сеанс остается живым, один и тот же файл будет повторно использоваться снова и снова (поскольку он назван в честь идентификатора сеанса), а встроенный сборщик мусора в PHP все равно удалит мертвые сеансы.
Хотя в целом это плохая идея, чтобы сеансы длились вечно, так как это ваш местный паб, я сомневаюсь, что кто-нибудь попытается украсть их сеанс. (и даже если бы они сделали, все, что они получили бы, это то, что на воскресный обед, верно?):)
Edit:
Вы также можете периодически перегенерировать идентификатор сеанса, чтобы повысить безопасность.