session和cookie的最深入理解

先說session

對SESSION的爭論好象一直沒有中止過，不過幺麼能理解SESSION的人應該佔90以上。
但仍是講講，別嫌老~

有一些人同意用SESSION，有一些人不同意。但這個問題到底要怎麼說。不妨聽聽個人見解

若是有錯誤請不要朝丟東西，金條和硬幣除外。

有些人應該知道我是作江湖程序的，而江湖程序作看中的就是效率，但這裏不談設計，而

從一些比較實際的角度看SESSION。

首先要先說SESSION是幹什麼的，SESSION是能夠存儲針對與某一個用戶的IE以及經過其當

前窗口打開的任何窗口具備針對性的用戶信息存儲機制。爲何要這樣說。看下邊

先研究SESSION是如何啓動的，當打開IE之後瀏覽網站後會發出一個指令請求SESSIONID以

及對各個類型數據的下載許可，如圖片，聲音以及FLASH。
數據實際傳輸內容：IE到服務器
GET / HTTP/1.1
Accept: p_w_picpath/gif, p_w_picpath/x-xbitmap, p_w_picpath/jpeg, p_w_picpath/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.jh521.com
Connection: Keep-Alive
服務器會返回一個沒有被使用的SESSIONID讓IE使用，當時IE就對返回SESSIONID作存儲

並同時返回相關頁面的下載數據，以下:服務器到IE
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private
而後就是頁面HTML代碼

此時這個IE程序(不是客戶機)的SESSIONID就爲IBOMFONAOJFEEBHBPIENJFFC

而當IE在訪問任何這個站點的ASP程序的時候，就會把IBOMFONAOJFEEBHBPIENJFFC發送

給服務器，服務器就會知道IBOMFONAOJFEEBHBPIENJFFC是表示你
而在服務器上設置SESSION("name")="name"
徹底能夠當作是
SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name"
或者
SESSION(SESSIONID)("name")="name"
這樣，SESSION就區分開用戶了。
而當服務器反饋這個ID的時候會看這個ID有沒有被使用。若是有在換一個
反正不會讓你重複，若是想模擬某人的SESSION的ID來進行欺騙是能夠的。不過要獲取到

對方IE傳輸信號，而且在保證當時這個SESSIONID沒有被取消的狀況下才可能實施。

不過要是我有那時間直接經過POST信號找他NAME和PASS了。我可不費這個勁

想必一些人明白了了SESSIONID究竟是如何工做的

那麼就在看看COOKIE,有人說SESSIONID就是COOKIE，按照技術上來說他們不屬於同類

可是屬於一種工做模式，用戶和服務器傳輸私有數據

當我設置COOKIE的時候，服務器會反饋給IE一個指令。IE經過這個網絡指令生成COOKIE並

存放,在特定的時候會取得這個這個信息如在訪問這個站點而且COOKID有效的時候。

那麼爲何要用COOKIE而不用SESSION呢
看下區別

有效時間以及存儲方式 傳輸內容
COOKIE 可設置並在本地保留 明碼信息

SESSION 在IE不關閉並服務器不超時 只有SESSIONID

當若是想讓用戶下次登入網站不須要輸入用戶名或者密碼的時候就只能用COOKIE,

由於他能夠保留至關長的時間(在COOKIE記錄被刪除或者失效日期以前)

而SESSION就不能夠，他不會保留太長時間，並且IE在關閉後就自動清除了SESSIONID記錄

在下次登入的時候會請求新的SESSIONID

而服務器想經過用戶我的變量校驗用戶的狀態的時候，就不能用COOKIE

若是用設置用戶權限是USER。而IE訪問的時候就把USER的明碼傳輸到服務器。

那麼若是我經過必定手段，好比直接修改COOKIE記錄，把USER修改爲ADMIN呢~~

就麻煩了。

但存儲用戶名和密碼或者網站的配色方案這樣的信息，用COOKIE是最好的