Cioè ragazzi che io sappia, premetto arrivo da ASP anche se le sessioni di PHP mi stanno facendo impazzire con la loro configurazione per windows...

1) su ASP le sessioni sono basate cmq sui cookies, se adoperi sessioni ma l'utente ha i cookies disabilitati sei cmq fregato...

2) su PHP le session sono basate cmq sui cookies, però c'è l'alternativa di passarle in GET, si possono configurare a piacimento attraverso il file PHP.ini. Il manuale spiega tutto e di più...

3) Io le aree di login almeno in asp le progetto così: creo un cookie persistente o no (muore ogni ora oppure alla chiusura del browser a seconda del tipo) al momento della login, dopo avere controllato la corrispondenza dei dati inseriti dall'utente nel loginform. Il cookie che adopero sfrutta la stessa logica dei cookies di array in PHP. Nei vari elementi dell'array piazzo la password criptata e il nome utente criptato (o in alternativa a quest'ultimo la email criptata). Ogni pagina protetta va a leggere i dati dal cookie e li confronta con quelli sul DB, se trova corrispondenza bene altrimenti nada!

Alcuni adoperano cookies, altri adoperano sessions, fatto sta che alla base della session c'è di fatto un cookie (per PHP c'è anche il metodo GET). Le session id sono a mio avviso troppo dipendenti dal server, voglio dire se il server va giù e viene riavviato addio session id... o sbaglio?