serveris izmanto sessijas variablus balstoties uz sessijas id ko vinam padod, ja tu to kadam nozodz un padod serverim, "tu strada" ar apzagtaa sesijas datiem. Parasti sessijas id glabā kukijaa, tapec nozogot to parasti tiek "uzlausts" lietotajs...
te var palasities kautko: http://blogs.sitepoint.com/2004/03/03/notes-on-php-session-security/