99

我正在尝试专业地理解 cookie 和会话。我知道当浏览器连接到服务器时,服务器“要求”浏览器在客户端浏览器 cookie 文件夹中“粘贴”带有“phpsessid”的 cookie。

现在我们有了“phpsessid”,如果客户端进入服务器,浏览器会向服务器发送“phpsessid”,服务器会查看 tmp 文件夹,如果我们有匹配项,它会加载用户拥有的所有数据这个客户,但我对这个过程有点困惑。

如果有人能帮助我理解创建会话和 cookie 的过程,我将不胜感激——幕后发生了什么。

4

1 回答 1

194

让我们来看看这个:

Cookie会话都是在浏览器发出的不同请求之间保留应用程序状态的两种方式。多亏了他们,例如,您无需在每次在StackOverflow上请求页面时都登录。

饼干

Cookies 是一小段数据(最大 4KB 长),将数据保存在 key=value 对中:

name=value; name2=value2

这些要么由JavaScript设置,要么通过服务器使用HTTP 标头设置。

Cookie 有一个到期日期时间集,例如使用 HTTP 标头:

Set-Cookie: name2=value2; Expires=Wed, 19 Jun 2021 10:18:14 GMT

这将导致浏览器设置一个名为 的 cookie name2,该 cookievalue2将在大约 9 年后过期。

Cookie 被认为是高度不安全的,因为用户可以轻松地操纵其内容。这就是为什么您应该始终验证 cookie 数据的原因。不要假设你从 cookie 中得到的必然是你所期望的。

Cookies 通常用于保存登录状态,其中用户名和特殊哈希从浏览器发送,服务器根据数据库检查它们以批准访问。

Cookies 也经常用于会话创建。

会话

会话略有不同。每个用户都会获得一个会话 ID ,该 ID 通过cookieGET 变量发送回服务器进行验证。

会话通常是短暂的,这使得它们非常适合保存应用程序之间的临时状态。一旦用户关闭浏览器,会话也会过期。

会话被认为比 cookie 更安全,因为变量本身保存在服务器上。以下是它的工作原理:

  1. 服务器打开一个会话(通过 HTTP 标头设置一个 cookie)
  2. 服务器设置会话变量。
  3. 客户变更页面
  4. 客户端发送所有 cookie 以及步骤 1 中的会话 ID。
  5. 服务器从 cookie 中读取会话 ID。
  6. 服务器匹配数据库(或内存等)列表中的会话 ID。
  7. 服务器找到匹配项,读取现在在$_SESSION超全局上可用的变量。

如果 PHP 没有找到匹配项,它将启动一个新会话,并重复 1-7 的步骤。

您可以将敏感信息存储在会话中,因为它保存在服务器上,但请注意,如果用户通过不安全的 WiFi 登录,会话 ID 仍然可能被盗。(攻击者可以嗅探cookie,并将其设置为自己的,他自己不会看到变量,但服务器会将攻击者识别为用户)。


这就是它的要点。您可以在这两个主题的 PHP 手册中了解更多信息。

于 2012-06-21T17:11:16.817 回答