cookie

1. 浏览器第一次请求服务器时，服务器给浏览器一个cookie;浏览器第二次再请求服务器的时候，带着这个cookie去的，服务器就会把浏览器带来的cookie再返还给你，同时又给你设置了cookie;浏览器第三次请求服务器的时候是带着服务器第二次设置的cookie过来的，返回给浏览器也就是第二次设置的cookie，同时又设置了一个cookie给浏览器。

2. 等待举例。。。

session

1. 浏览第一次访问服务器时，服务器给浏览器一个cookie即phpsessid,服务器自己再存一份，浏览器下次请求的时候，服务器会把浏览器带来的cookie跟自己存的那份对比一下，看看是否一样。
2. session就像我们去超时买东西，我们带着包不让进，就把包寄存到小箱子里，小箱子就会出一个小纸条，当我们去取得时候，就凭这这个小纸条(phpsessid）去取,小纸条若丢了，箱子的包有可能就被盗了。

总结：
cookie存在浏览器，浏览器带给服务什么，服务器就让浏览器读什么，完全信任浏览器浏览器带来的东西是可以在客户端修改的。
session存在服务器端，浏览器带给服务器的phpsessid值，服务器会自己验证有没有这个东西，不能全信浏览器的。若phpsessid被盗了，也就危险了。