Mettiamo che ho un'area riservata, per accedere è necessaria l'autenticazione.
Dopo l'autenticazione viene creata una variabile di sessione

session_start();
session_register("pippo");

Nelle pagine riservate controllo che $pippo sia su true e tutto va bene.

if (isset($pippo))
...

Ma se un utente malintenzionato conosce il nome dalla pagina riservata ed il nome della variabile di sessione entra uguale
tramite:

www.sito.it/area-riservata/prova.php?pippo=1