Cita: esa es otra pregunta que me gustaría hacer ya que soy nuevo en esto... que es más seguro cookies o URL para pasar el SID??, si lo paso por URL el SID es "visible" para algun hacker?? yo utilizo la variable _SESSION para que se guarde toda la información en el servidor y no en el cliente.
A nivel de propagación del SID .. lo ideal (por seguridad) son las cookies. Puedes leer el documento que recomienda PHP su lectura:
http://www.acros.si/papers/session_fixation.pdf
Si pasa el SID en el URL .. es visible para todos y lo peor no es que sea visible para uno mismo .. (el cliente que inicia y usa esa sesión identificada por ese SID) .. sino para "otros" si propaga el SID por ejemplo en un link que dé en un foro/chat/e-mail a otra persona ...
Cita: yo utilizo la variable _SESSION para que se guarde toda la información en el servidor y no en el cliente.
$_SESSION .. eso son las sesiones y se guardan en el servidor. Sólo es ese "SID" el que eventualmente puede almacenarse en el cliente NO los datos.
Un saludo,