session'lar sunucu taraflı oluşur, cookie'ler kullanıcı taraflı, yani manipüle edilmesi mümkündür. Ayrıca güvenlik zafiyatı doğurabilir ve cookie'ler çalınabilir. Bu yüzden oturum işlemleri SESSION ile yapılmalıdır. Sadece daha sonra girdiğinde tekrar oturum açmaması için cookie'de şifreli olarak user key ya da token gibi bir şey tutularak siteye tekrar girildiğinde bu kontrol edilir, var ise otomatik giriş yaptırılır.