Сессии чаще всего держатся на cookie: с каждым запросом браузер передает куку с идентификатором сессии, и php вытаскивает из своего хранилища – файлов, Redis, базы данных, как настроете – сессионные данные для этого id.
Т.е. различие в том, где хранить сами данные сессии: на сервере или на клиенте.
Всё, что приходит с клиента можно подделать. Поэтому лучше использовать сессии.
Так, а если кому-то в руки попадёт кука с id для сессии, он же также спокойно может её использовать тогда для авторизации, разве нет? Чем это тогда безопаснее, чем просто пароль хранить в куке (что, понятное дело, вообще не безопасно)
