最近在学习cookie和session的基础知识，在这过程中涉及到cookie的安全性问题时总是很疑惑，很多文章都会涉及到安全性的问题，但是总是一句话带过，并没有详细说到底是怎么回事，比如我看到别人的观点：

服务器鉴别session需要至少从客户端传来一个session_id，session_id通常存于cookie中，或是url（很少用url，主要涉及安全性和SEO的影响）  所以在工程上session离了cookie基本没法用，但是cookie可以单独使用，不过cookies是明文存储，安全性很低，只使用cookie的话盗取了cookie基本就获取了用户所有权限。 

亦或者

某个用户竟然在凭证上伪造了内容，让服务器哥误认为他是某个用户（这个时候凭证是明文，该起来非常方便），然后被伪造的那个用户的信息泄漏了

当我看到这些的时候总是不太清楚到底是怎么回事，以上面的例子为例，假如有人可以伪造cookie的内容那就算使用session，也可以有人伪造session_id啊，所以很疑惑。。

另外，大家可以具体讲下用户填写账号密码并提交表单后，服务器验证的具体过程吗？（是根据session_id从内存或者数据库中取出账号密码进行对比？）

感激不尽~