会话与 cookie 的（dis）优点

Question

我需要一些有关会议的详细信息。会话变量有哪些缺点？ cookie 和 session 之间，哪一个更好？

Answer 1

我不打算在这里讨论安全性，因为 Infotekka 已经对此进行了相当多的讨论。您似乎在问是否应该使用 SESSION 或 COOKIE，就好像它们是彼此的替代品一样。

他们不是。他们服务器（这是一个错字......但我留下它，因为这是一个很好的双关语）不同的目的。

由于 HTTP 是无状态的，PHP（和其他）提供了通过使用会话在应用程序中模拟状态机的能力。如果不这样做，则必须在每个页面之间使用 POST/GET 来保持数据一致，并且如果用户自行转到另一个页面，数据将会丢失！因此，如果没有会话，您将无法让用户登录到您的网站..至少不能非常一致。

总而言之，SESSION 用于在站点的多个页面之间保存数据，而无需长时间使用 HTTP。这就是它的用途。

我想你可以使用 COOKIE 来做到这一点，但它比 cookie 复杂得多，特别是在处理序列化到会话的对象时。设置的 COOKIE 在下一页加载之前也无法访问，并且必须在脚本的任何输出之前设置（与任何其他标头一样）。

会话应该就是这样的——用户坐在电脑前在网站上工作的时间，无论时间长短。当离开时，会话结束。

Cookie 应该用于长期存储简单数据。如果他们经常访问该网站，他们可能希望记住他们的用户名，以便可以将其存储为 cookie。请注意 Infotekka 指出的安全问题。

编辑：最后，我应该补充一点，COOKIE 是在用户和浏览器之间的每个页面请求上传输的。更多 Cookie 意味着更多的页面加载时间。

Answer 2

这是一个非常开放式的问题，但我认为在 PHP 中使用会话时应该考虑的最重要的事情是劫持是多么容易。 PHP 会话将其所有值存储在服务器缓存中，并根据写入客户端 cookie 的会话 ID 来检索这些值。只要该会话处于活动状态，与该会话 ID 连接的客户端将被授予对该会话的访问权限。

有一些可怕的程序，例如 firesheep，可以向您展示获取会话 ID 并将其设为您自己的会话 ID 是多么容易。如果您要将任何安全性建立在该会话的基础上，您需要确保您所做的一切都是通过 SSL 进行的，并且您应该构建第二层验证以确保您的会话没有被劫持。

话虽如此，会话是存储持久值的好地方，您需要在用户应用程序体验的生命周期中访问这些值。