PHP - Sesiones y Cookies

Buenas. Tengo una duda. Supongamos que yo me hago un aplicacion en la cual tengo un sistema de reconocimiento de usuarios con su correspondiente contraseña. La parte de base de datos la domino. Crear, una db, una tabla con 3 campitos, id, user y password. Pero una parte de php no entiendo. Se que hay que usar sesiones. Me gustaria tambien que la app pueda mantener la sesion abierta al cerrar el navegador, lo cual se logra con los cookies. Peeero aqui mi duda. Se podria utilizar solo la cookie? ó es necesario que tambien se trabaje con session?

Hola amigo,
me ha interesado tu pregunta... no soy para nada experto, pero te puedo dar mi punto de vista,
esperemos alguien con más experiencia comente.
Yo sé que en cuanto a seguridad ambas son vulnerables, pero creo que la cookie es más fácil de manipular.
Ahora, de que puedes hacer un login con cookies, pues creo q si, pero no lo veo para nada seguro.
En cuanto a la duración de la session, podrías controlarla con:


Ya que por defecto el cookie_lifetime es 0, lo que indica que tu session caducará al cierre del navegador..

Espero haberte orientado un poco..
Saludos!

Comprendo. Yo en mi app tengo la opcion de poder recordar al usuario, para que la sesion siga iniciada, por ejemplo 1 dia, En ese caso dirias que es recomendable crear un cookie que tenga cookie_lifetime 0 (cuando el usuario se logea normalmente) y cookie_lifetime > 0 en el caso de que el usuario haya seleccionado la opcion de "Recordarme en este sitio"? Una pregunta mas seria; cuando cierre el navegador (la sesion php se va a cerrar) pero la cookie seguira existiendo. En este caso el usuario se estaria autenticando solo con la cookie, verdad? Me parece que me esta faltando algo mas, como tu dices logearse solo con la cookie es inseguro. Bueno, por eso he publicado esa duda que aun tengo en la cabeza. Gracias por tus respuestas!

Hola nuevamente amigo,
Como dije anteriormente, no soy para nada experto, pero te comento lo poco que he aprendido al desarrollar ...

Una sesión a final de cuentas es una cookie , ambas son muy manipulables (nombre, valor, tiempo de duracion , etc)

Una sesión te genera una cookie con el nombre PHPSESSID ( si es que no has cambiado el nombre, PHP la genera con dicho nombre), el cual contiene como valor un código, generalmente de 32 caracteres , dependiendo de la encriptacion que este manejando tu servidor.
Esta sesion es como un arreglo, que esta relacionado/asociado con TODOS los valores que crees con tus diferentes $_SESSION['valor1'], $_SESSION['valor2'] ... $_SESSION['valorn']

Es por eso que te comentaba que en parte de la seguridad, creo que el PHPSESSID es un poco más seguro, y no tan "visible" en cuanto a valores

Lo que comentas de crear una cookie / session con el lifetime dependiendo si se va a recordar o no el usuario, desde mi punto de vista lo veo viable...

" ... cuando cierre el navegador (la sesion php se va a cerrar) pero la cookie seguira existiendo .. " , Si creas la sesión y la destruyes, la cookie no tendría porque seguir existiendo ... a menos que crees ambas cosas, sesion y cookie

Espero no haberte confundido, ojala los mas experimentados comentarán y compartieran sus conocimientos
Saludos!

Hola, que tal, claro. Lo que tenia pensado era crear una cookie por separado. Porque en el caso de que un usuario no quiera ser reconocido, no deberia tener una cookie pero para el caso contrario si. Pero ahora investigare acerca de esa cookie que se crea llamada PHPSESSID. Gracias amigo