Сессия хранится на сервере в файлах/БД, пользователь не имеет к ней отношения. В куках обычно хранятся лишь ID сессии(й), соответственно и фильтровать ID особо не надо. Больше ничего в куках обычно не хранят, и в основном это связано на 4-Кб ограничением объема кук/домен. Таким образом данные в самой сессии достаточно фильтровать перед (пере-)записью, после выборки уже не обязательно.

то есть если я помещаю не в печенье, а именно в сессию ид пользователя, то его уже на ид админа не переправить? Я правильно понимаю? А для достоверности сравнивать хеш сессии? Так, получается?

получается так. Если использовать встроенные в php сессии то php сам следит за уникальностью id сессии(на основе microtime+внутреннего аглоритма избежания коллизий). Но можно и свои завелосипедить, например генерировать id сессии как хеш от всех полей профиля - получится также сильно случайное(и в отличие от php неизменное) значение. У php основная проблема это очистка сессий, которая нифига не работает так как это задумано. Ну а в куках лучше по факту вообще ничего не хранить. Т.к. это не только вышеописанная проблема но еще и ненужное загромождение запросов к домену. Единственный смысл кук - в авторизации и паре специфических операций, например передача на сервер темпорального сдвига - т.е. исключительно то, что действительно надо отправлять каждый раз и при любом запросе.

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.