Насколько безопасны сеансы PHP?

Я в первую очередь программист на C++, но пытаюсь немного освоить PHP.

По-видимому, способ реализации веб-сеансов пользователей заключается в сохранении идентификатора входа пользователя в файл cookie с использованием переменной $_SESSION.

Возможно ли, чтобы кто-то просто изменил свой файл cookie, чтобы дать ему другие привилегии или войти в систему как другой пользователь?

Похоже, этот механизм аутентификации заключается в том, что пользователь просто сохраняет свой идентификатор в файле -, а затем просто доверяет ему не изменять его.

Есть ли что-то, что мешает этому?

Спасибо!