牛云-
session是存储在服务器端的,cookie是存储在客户端的,所以session的安全性要高于cookie。
再者,我们获取的session里的信息是通过存放在会话cookie里的sessionId获取的。
因为session是存放在服务器里的,所以session里的东西不断增加会增加服务器的负担,我们会把一些重要的东西放在session里,不太重要的放在客户端cookie里。
cookie分为两大类,一个是会话cookie和持久化cookie,他们的生命周期和浏览器是一致的,浏览器关了会话cooki也就消失了,而持久化会存储在客户端硬盘中。
我不懂运营-
我不喜抄,直接说区别吧!
cookie用于交互时存放在客户端,即使用你临时文件夹中不存在cookie,但在你的浏览器进程中会临时保存你的cookie!session是交互时存放在服务端,即使用不保存,也在服务进程中。
如果你对网页有交互,服务器如何在众多请求中能识别你那是曾经的哪一个?这依赖于你传递上来的cookie,即合没有任何其他的的交互,在你浏览器进程中也必须保存诸如sessionID之类的cookie!但这个是临时的,只是为了识别你到底是谁而已。知道了你是谁,服务器还需要知道该怎么做,那么在服务器进程中必须存在一个sessionID,这个与你请求的相对应,然后根据这个才知道你是谁,该怎么做。
sessionID是你初次请求时由系统生成,随网页流保存在你的浏览器进程中,以便你在使用postback等回传功能时能识别你!要不然,你回传了,另外一个请求却得到你的回传反应,这有点说不过去吧?
sessionid相当于浏览器与服务进程进行了一个简单的约定,可以理解为初次服务器发给你的一个通行号码,以后你与服务器的任何交互都依赖于这个号码!
而其他的需要长期保存的一些信息也在cookie中,如用户名与密码等等,与这个通信的结果是相同的。也就是说cookie与session同时存在,分别在客户端与服务器!
如果你通过网络嗅探或是其他方式,得到了某一个浏览器正在交互的sessionid以及一些进程中保存的session信息,这个信息在客户端称cookie,这服务器称session。那么你可以利用这些信息进行攻击。
如,在某台电脑中保存有某用户的user与password通行信息时,你可以将自己的cookie违装成目标的cookie,然后可以进行登陆,这种攻击方式叫cookie攻击!
如果他的这些信息保存在了浏览器进程中,也可以伪造,这种其实也是cookie攻击,但由于其不确定性(你还必须拿到sessionid),这种称为session攻击。其实说白了,这种方式在服务器中直接使用的session[“user"]之类的方式取得的,所以伪造时连同sessionid一块伪造,所以才被称为session攻击的。
由于多标签浏览器的存在,还可以进行网页交叉攻击!
里论外几-
1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个用户,并且跟踪用户,这样才知道购物车里面有几本书。这个Session是保存在服务端的,有一个唯一标识。在服务端保存Session的方法很多,内存、数据库、文件都有。集群的时候也要考虑Session的转移,在大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个时候 Session 信息都是放在内存的,使用一些缓存服务比如Memcached之类的来放 Session。
2. 思考一下服务端如何识别特定的客户?这个时候Cookie就登场了。每次HTTP请求的时候,客户端都会发送相应的Cookie信息到服务端。实际上大多数的应用都是用 Cookie 来实现Session跟踪的,第一次创建Session的时候,服务端会在HTTP协议中告诉客户端,需要在 Cookie 里面记录一个Session ID,以后每次请求把这个会话ID发送到服务器,我就知道你是谁了。有人问,如果客户端的浏览器禁用了 Cookie 怎么办?一般这种情况下,会使用一种叫做URL重写的技术来进行会话跟踪,即每次HTTP交互,URL后面都会被附加上一个诸如 sid=xxxxx 这样的参数,服务端据此来识别用户。
3. Cookie其实还可以用在一些方便用户的场景下,设想你某次登陆过一个网站,下次登录的时候不想再次输入账号了,怎么办?这个信息可以写到Cookie里面,访问网站的时候,网站页面的脚本可以读取这个信息,就自动帮你把用户名给填了,能够方便一下用户。这也是Cookie名称的由来,给用户的一点甜头。
所以,总结一下:
Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中;
Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。
北有云溪-
一些网站会在您的计算机上的以小文本文件存储信息。这种文件称为 Cookie。
有几种类型的 Cookie,您可以选择是否允许在计算机上保存一部分、不保存或保存所有的 Cookie。如果不允许 Cookie,就不能查看某些站点或者利用自定义功能(例如本地新闻和天气,或者股票查询)。
单击标题,或按 Tab 键来突出显示标题,然后按 Enter 键。
如何使用 Cookie
Cookie 是由 Internet 站点创建的、将信息存储在计算机上的文件,例如访问站点时的首选项。例如,如果您在某家航空公司的站点上查阅了航班时刻表,该站点可能就创建了包含您的旅行计划的 Cookie。也可能只记录了您在该站点上曾经访问过的页面,由此帮助您下次访问该站点时自定义查看。
Cookies 也可以存储个人可识别信息。个人可识别信息是可以用来识别或联系您的信息,例如您的姓名、电子邮件地址、家庭或工作单位地址,或者电话号码。然而,网站只能访问您提供的个人可识别信息。例如,除非您提供电子邮件名称,否则网站将不能确定您的电子邮件名称。另外,网站不能访问计算机上的其他信息。
一旦将 cookie 保存在计算机上,则只有创建该 cookie 的网站才能读取它。
永久 Cookie
永久 Cookie 以文件形式存储在计算机上,关闭 Internet Explorer 时仍然保留在计算机上。再次访问该站点时,创建该 Cookie 的网站可以读取。
临时 Cookie
临时 Cookie 或会话 Cookie 仅为当前浏览的对话存储,关闭 Internet Explorer 时即从计算机上删除。
对比第一方 Cookie 和第三方 Cookie
第一方 Cookie 来自当前正在查看的网站,或者发送到当前正在查看的网站。这些 Cookie 常用于存储信息,例如访问该站点时的首选项。
第三方 Cookie 来自当前正在查看的网站以外的网站,或者发送到当前正在查看的网站以外的网站。第三方网站通常提供正在查看的网站上的内容。例如,许多站点使用来自第三方网站的广告,这些第三方的网站可能使用 Cookie。这类 Cookie 通常跟踪用于广告或其他市场目的的网页。第三方 Cookie 可以是永久文件,也可以是临时文件。
不满意的 Cookie
不满意的 Cookie 是未经同意就允许访问个人可识别信息(用于次要目的)的 Cookie。
使用 Cookie 时的选择
Internet Explorer 允许使用 Cookie;但是,可以更改隐私设置来指定 Internet Explorer 将 Cookie 放到计算机上之前给出提示(让您决定允许或阻止 Cookie);或者防止 Internet Explorer 接受任何 Cookie。
可以使用 Internet Explorer 隐私设置指定 Internet Explorer 如何处理个别网站或全部网站的 Cookie。也可以通过导入包含自定义隐私设置的文件来自定义隐私设置,或者指定所有网站或个别网站的自定义隐私设置。
隐私设置仅适用于 Internet 区域中的网站。
Session直接翻译成中文比较困难,一般都译成时域。在计算机专业术语中,Session是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间以及如果需要的话,可能还有一定的操作空间。 具体到Web中的Session指的就是用户在浏览某个网站时,从进入网站到浏览器关闭所经过的这段时间,也就是用户浏览这个网站所花费的时间。因此从上述的定义中我们可以看到,Session实际上是一个特定的时间概念。 需要注意的是,一个Session的概念需要包括特定的客户端,特定的服务器端以及不中断的操作时间。A用户和C服务器建立连接时所处的Session同B用户和C服务器建立连接时所处的Session是两个不同的Session。 session的工作原理 (1)当一个session第一次被启用时,一个唯一的标识被存储于本地的cookie中。 (2)首先使用session_start()函数,PHP从session仓库中加载已经存储的session变量。 (3)当执行PHP脚本时,通过使用session_register()函数注册session变量。 (4)当PHP脚本执行结束时,未被销毁的session变量会被自动保存在本地一定路径下的session库中,这个路径可以通过php.ini文件中的session.save_path指定,下次浏览网页时可以加载使用。
慧慧-
一、cookie介绍
cookie
常用于识别用户。cookie
是服务器留在用户计算机中的小文件。每当相同的计算机通过浏览器请求页面时,它同时会发送
cookie。通过
PHP,您能够创建并取回
cookie
的值。
1、设置Cookie
PHP用SetCookie函数来设置Cookie。
SetCookie函数定义了一个Cookie,并且把它附加在HTTP头的后面,SetCookie函数的原型如下:
int
SetCookie(string
name,
string
value,
int
expire,
string
path,
string
domain,
int
secure);
参数说明:cookie名称,cookie值,过期时间(int),有效路径,有限域名,https传递才有效
注意:当前设置的Cookie不是立即生效的,而是要等到下一个页面时才能看到.这是由于在设置的这个页面里Cookie由服务器传递给客户浏览器,在下一个页面浏览器才能把Cookie从客户的机器里取出传回服务器的原因。
使用例子:
普通使用:
setcookie("name","PHP淮北");
带失效时间的:
setcookie("name","PHP淮北",time()+24*60*60);//1day
Cookie是面向路径的
,默认存储在当前文件下,如果没有设置路径,不同文件下的cookie默认保存在不同文件夹下,如图:默认保存在mytest文件夹下
2、接收和处理Cookie
用户端与服务端的web通信协议是http。而PHP通过http取得用户数据惯用的三种方法分别是:POST方法、GET方法还有Cookie。而PHP默认传递方法正是Cookie,也是最佳方法。
比如设置一个名为MyCookier的Cookie,PHP会自动从WEB服务器接收的HTTP头里把它分析出来,并形成一个与普通变量一样的变量,名为$myCookie,这个变量的值就是Cookie的值
3,删除Cookie
要删除一个已经存在的Cookie,有两个办法:
一是调用只带有name参数的SetCookie,那么名为这个name的Cookie将被从关系户机上删掉;例如:setcookie("name","");
另一个办法是设置Cookie的失效时间为time()或time()-1,那么这个Cookie在这个页面的浏览完之后就被删除了(其实是失效了)。
例如:setcookie("name","PHP淮北",time()-24*60*60);
要注意的是,当一个Cookie被删除时,它的值在当前页在仍然有效的。
使用Cookie的注意事项:
首先是必须在HTML文件的内容输出之前设置(Cookie是HTTP协议头的一部分,用于浏览器和服务器之间传递信息,所以必须在任何属于HTML文件本身的内容输出之前调用Cookie函数。
在PHP页面可以先使用
ob_start();//开启
code…..
ob_end_flush();
//刷新缓存
可以防止header提示错误);
不同的浏览器对Cookie的处理机制不一样
cookie限制是在客户端的。一个浏览器能创建的Cookie数量最多为30个,并且每个不能超过4KB,每个WEB站点能设置的Cookie总数不能超过20个。
当前设置的Cookie不是立即生效的,而是要等到下一个页面时才能看到
二、session介绍
session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息,每一个网站访客都会被分配给一个唯一的标志符,即会话ID,它的存放形式无非两种:要么经过url传递,要么保存在客户端的Cookies里.当然,你也可以将Session保存到数据库里,这样会更安全,但效率方面会有所下降.url方式传递安全性肯定太差,PHP的会话机制是通过设置Cookie,在Cookie中保存会话id(Session
ID),在服务器端会生成session文件,与用户进行关联,Web应用程序存储与这些Session相关的数据,并在各页面间进行传递.
PHP相关函数
在PHP中有关Session的函数比较多,不过我们最常用到的也就这么几个函数:
session_start():启用session机制,在需要用到session的程序文件的最开始调用它.
session_register():注册session变量
session_unregister():
删除session变量(一个一个删除)
session_is_registered():
判断session变量是否注册
session_distroy():
销毁所有session变量(所有session变量销毁,包括文件)
需要注意下面几个方面:
1.函数session_start()必须在程序最开始执行,在其前面不能有任何输出内容,否则
就会出现“Warning:Cannot
send
session
cookie
-
headers
already
sent"类似这样的警告信息.
2.函数session_register()用于注册要保存在session中的相关变量,其用法如下:
<?php
$val
=
"session
value";
session_register("val");
?>
val即为要注册的session变量名,在注册时一定不要加上"$"符号,只写其变量名称即可.
3.函数session_unregister()与上面函数用法完全相同,但功能相反,上面函数是注册
session变量,而其则是删除指定的session变量.
4.函数session_is_registered()用于判断session变量是否注册.
5.函数session_destroy()主要用于在系统注销和退出时,销毁所有的session变量,它没有参数,直接调用即可。
Session与PHP.ini的关系配置
1,session.save_handler
=
file
用于读取/回写session数据的方式,默认是files。它会让PHP的session管理函数使用指定的文本文件存储session数据
2,session.save_path
=
“/xammp/temp/”
指定保存session文件的目录,可以指定到别的目录,但是指定目录必须要有httpd守护进程属主(比如apache或www等)写权限,否则无法回存session数据。它还可以写成这样session.save_path
=
“N;/path”
其中N是整数。这样使得不是所有的session文件都保存在同一个目录中,而是分散在不同目录。这对于服务器处理大量session文件是很有帮助的。(注:目录需要自己手工创建)
3,session.auto_start
=
0
如果启用该选项,用户的每次请求都会初始化session。不推荐使用,最好通过session_start()显示地初始化session。
以上所述就是本文的全部内容了,希望大家能够喜欢。