se mantienen en el servidor
lo unico que puede cambiar el usuario seria este identificador de sessin pero no lo que esta tiene en su interior
muy bien por preguntar
 

Si se puede modificar arbitrariamente. Pero ojo, unicamente cuando register_globals = on..

Por ejemplo tu $_SESSION['user'] podria ser sobreescrito mediante el usario si mandara $_POST['user']=admin  $_COOKIE['user']=admin. etc. Busca sobre session poisoning.

NO tengo los register_globals en ON...

Yo al comienzo de index.php, hago una comprobacion para ver si el ID que está en SESSION, coincide con otras huevadas dentro de otra variable de SESSION para ver si la sesion abierta es real, etc etc etc.. todo un quilombo he hecho por el miedo a que un usuario modifique la variable $_SESSION['idsession']... que en esa variable guardo el ID del usuario que tiene la session abierta...

Todo eso está de mas... porque jamas podran modificarlo luego de haber iniciado la sesion? :O :O :O

DIOS!!...


Todos los HTMLENTITIES y los MYSQL_REAL_ESCAPE_STRING que tengo estan de mas?!?!??!!?
:O

Creo que la web mejorará en un 50% su velocidad..
Y de por sí que ya es muy rapida

La id de sesión sirve para llamar una sesión dentro del servidor...

<?php
session_start();
echo "Las sessiones se guardan en: ".session_save_path()."<br>";
if(isset($_SESSION['ej'])){#Si esta definida la session ej, el if se ejecuta
echo $_SESSION['ej'];#Imprimimo el valor de la session ej
echo "<br>";
echo session_id();
exit;#Salimos inmediatamente
}
$_SESSION['ej'] = "Hola mundo";#Asignamo el valor Hola mundo a la session ej
exit;#Salimos
 
?>

Resultado:

Ahora lo verificamos.



La sesión se elimina al finalizar la sesión...