Подделка сеанса / файлов cookie?

Я не совсем уверен, как $ _ SESSION работает в PHP. Я предполагаю, что это файл cookie в браузере, которому соответствует уникальный ключ на сервере. Можно ли подделать это и пропустить вход в систему, при котором сеансы используются только для идентификации пользователя.

Если $ _ SESSION не работает таким образом, может ли кто-то потенциально подделать файлы cookie и обойти вход в систему?