下面我們來看一下Session是如何工作的。不知你是否知道通過Cookie來實現身份認證的吧。首先生成一個獨一無二的Cookie作為用戶身份的標志，并在數據庫中進行注冊。然后通過用戶傳遞來的Cookie和數據庫中注冊的Cookie進行對照以確定用戶的身份。
Session的工作原理也是這樣。
首先，PHP為建立Session的用戶產生一個獨一無二的字符串，用來標志這個用戶的session。一般將這個字符串稱作Session Id。然后“sess”＋Session Id為文件名（例如一個Session ID為111，那么文件名為sess_111）在服務器的文件系統中建立一個文件，在文件中保存用戶在Session所定義的全局變量的變量名和值。然后再將Session Id作為一個名為PHPSession的Cookie保存在用戶端的文件系統中。
然后，當用戶再次連接服務器訪問一個PHP腳本時，PHP從用戶發來的PEESession這個Cookie中得到用戶所在Session的Session Id，并根據Session Id從服務器的文件系統中保存Session信息的文件。最后從這個文件中讀出用戶在上次連接時所設置的全局變量的值。
因此，我們可以看到Session的工作原理和我們上一節所介紹的身份認證的工作原理是一樣的。所不同的只是Session將信息保存在了服務器的文件系統中，而我們將信息保存在了數據庫中。當然使用Session好處就是數據的保存和獲取是由PHP自動完成的，而直接使用Cookie的話就需要自己動手進行數據的保存和獲取。
Session利用Cookie的身份標志功能，將用戶在瀏覽網站時需要保存的信息保存在服務器上。這樣Session既克服了HTTP協議的缺陷，又防止了信息的泄漏，而且方便了編程者的使用，是一個非常好的解決方案。不過，Session的功能只有PHP4支持，PHP3是不支持Session的。因此使用PHP3進行網站構建的讀者只能采用直接使用Cookie的方式。