Cita: Y he estado leyendo que existen dos maneras de pasar las variables una por url y otra por cookies
Enfocado al tema de sesiones .. lo que se pasa por el URL o en una cookie no son tus variables .. (que siempre van a permanecer en el servidor) sino el SID (Identificador Único de sesión).
Cita: ¿Qué no se supone que las cookies se quedan en la máquina del cliente, y si es así, alguien puede tomar esa cookie y tomar las variables de sesión y volver a entrar?...
En la cookie sólo queda el SID .. El tiempo de expiración de esa cookie lo define tu php.ini por defecto y puedes usar la función que te han mencionado para alterar ese valor. Lo normal es usar un tiempo de expiración = 0 .. por ende, cuando cierres la última ventana de tu sitio .. la cookie se muere y del SID no quedará rastro.
Ahora, por supuesto que si tienes la ventana abierta y buscas tus cookies . .veras la que PHP genera con el SID en ella. Pero si tu propagas el SID exclusivamente en cookies no vas hacer mucho con ella.
También puedes ajustar la duración de tu sesión (session.gc_maxlifetime php.ini) (por defecto está en 24 minutos!!!) así reduciras ese tipo de problemas.
Te recomiendo leer:
http://phpsec.org/projects/guide/
(sobre todo su sección sobre sesiones).
Un saludo,