我正在尝试专业地理解Cookie和会话。 我知道当浏览器连接到服务器时,服务器“请求”浏览器在客户端浏览器cookie文件夹中“粘贴”带有“phpsessid”的cookie。
现在我们有了“phpsessid”,如果客户端进入服务器,浏览器会向服务器发送“phpsessid”,服务器会查看tmp文件夹,如果我们有匹配,则会将每个数据加载回来用户有这个客户,但我对这个过程感到困惑。
如果有人可以帮助我理解创建会话和cookie的过程,我将感激不尽 - 幕后发生的事情。
答案 0 :(得分:127)
让我们来看看:
Cookies 和 sessions 都是在浏览器发出的不同请求之间保留应用程序状态的方法。感谢他们,例如,您每次在 StackOverflow 上请求页面时都不需要登录。
Cookie是一小部分数据(最长4KB),它将数据保存在键=值对中:
name=value; name2=value2
可以通过 JavaScript 设置,也可以使用 HTTP header 通过服务器设置。
Cookie设置了到期日期时间,例如使用HTTP标头:
Set-Cookie: name2=value2; Expires=Wed, 19 Jun 2021 10:18:14 GMT
这会导致浏览器设置名为name2且值为value2的Cookie,该Cookie将在大约9年后到期。
Cookie被视为高度不安全,因为用户可以轻松操纵其内容。这就是为什么你应该总是验证cookie数据。不要假设你从cookie中得到的东西必然是你所期望的。
Cookie通常用于保留登录状态,其中从浏览器发送用户名和特殊哈希,服务器会根据数据库对其进行检查以批准访问。
Cookie通常也用于会话创建。
会话略有不同。每个用户都会获得会话ID ,然后通过 Cookie 或 GET变量将其发送回服务器进行验证。
会话通常是短暂的,这使它们成为在应用程序之间保存临时状态的理想选择。一旦用户关闭浏览器,会话也会过期。
会话被认为比Cookie更安全,因为变量本身保存在服务器上。以下是它的工作原理:
$_SESSION superglobal上可用的变量。如果PHP找不到匹配项,它将启动一个新会话,并重复1-7的步骤。
您可以在会话中存储敏感信息,因为它保留在服务器上,但请注意,如果用户(例如,通过不安全的WiFi登录),会话ID仍然可能被盗。 (攻击者可以嗅探cookie并将其设置为自己的cookie,他不会自己看到变量,但服务器会将攻击者识别为用户)。
这就是它的要点。您可以在这两个主题的PHP手册上了解更多信息。