Переменные сессии не просто куки.Браузер клиента получает cookie, который присоединяет его к сеансу на сервере, но только сервер может устанавливать и считывать переменные из $_SESSION.
В то время как клиент может передавать любую информацию, которую он хочет, на сервер с помощьюcookie, идентификатор сеанса трудно (хотя и не невозможно) угадать, что затрудняет захват сеанса другого пользователя.
Обычный способ защиты от перехвата сеанса - хранить в $_SESSION отпечаток пальцаIP-адрес пользователя, строка агента пользователя или некоторая другая идентифицируемая строка.Это также может быть случайная строка токена, которую вы генерируете и отправляете клиенту при сохранении в $_SESSION.В следующей публикации формы вы ожидаете, что токен будет отправлен в скрытом виде и сопоставлен с тем, который вы сохранили на сервере.