cookies se smestaju na korisnickom racunaru i podlozne su editovanju od strane korisnika, dok se sesije smestaju na serveru, ali ne znam da li imaju ograniceno trajanje, jer ja najcesce koristim samo session_start(); i onda ona traje do kraja "browser session"-a
O funkcionisanju čitaj u PHP Manual-u.
Slabost je što može da se preotme, pa jedan korisnik može koristiti podatke nekog
drugog korisnika, ali sa druge strane postoji niz mera kojima se preotimanje sprečava.
Čini mi se da je skoro bila rasprava o korišćenju sesija i sigurnosnim pitanjima, pretraži forum.