cookie概念
在瀏覽某些 ** 時,這些**會把 一些資料存在 客戶端 , 用於使用** 等跟蹤使用者,實現使用者自定義 功能.
如果不設定 過期時間,則表示這個 cookie生命週期為 瀏覽器會話期間 , 只要關閉瀏覽器,cookie就消失了.
這個生命期為瀏覽會話期的cookie,就是會話cookie;
儲存: 一般儲存在 記憶體,不在硬碟;
如果設定了過期時間, 瀏覽器會把cookie儲存在硬碟上,關閉再開啟瀏覽器, 這些cookie 依然有效直到 超過的設定過期時間;
儲存在硬碟上的cookie可以在不同的瀏覽器程序間共享,比如兩個ie視窗。而對於儲存 在記憶體的cookie,不同的瀏覽器有不同的處理方式。
原理: 如果瀏覽器使用的是 cookie,那麼所有的資料都儲存在瀏覽器端,
比如你登入以後,伺服器設定了 cookie使用者名稱(username),那麼,當你再次請求伺服器的時候,瀏覽器會將username一塊傳送給伺服器,這些變數有一定的特殊標記。
服 務器會解釋為 cookie變數。
所以只要不關閉瀏覽器,那麼 cookie變數便一直是有效的,所以能夠保證長時間不掉線。
如果你能夠截獲某個使用者的 cookie變數,然後偽造乙個資料報傳送過去,那麼伺服器還是認為你是合法的。所以,使用 cookie被攻擊的可能性比較大。
如果設定了的有效時間,那麼它會將 cookie儲存在客戶端的硬碟上,下次再訪問該**的時候,瀏覽器先檢查有沒有 cookie,如果有的話,就讀取該 cookie,然後傳送給伺服器。
如果你在機器上面儲存了某個論壇 cookie,有效期是一年,如果有人入侵你的機器,將你的 cookie拷走,然後放在他的瀏覽器的目錄下面,那麼他登入該**的時候就是用你的的身份登入的。
所以 cookie是可以偽造的。
當然,偽造的時候需要主意,直接copy cookie檔案到 cookie目錄,瀏覽器是不認的,
他有乙個index.dat檔案,儲存了 cookie檔案的建立時間,以及是否有修改,所以你必須先要有該**的 cookie檔案,並且要從保證時間上騙過瀏覽器,
曾經在學校的vbb論壇上面做過試驗,copy別人的 cookie登入,冒用了別人的名義發帖子,完全沒有問題。
cookie 用法:setcookie("user","zy",time()+3600); 設定user為zy,一小時之後失效;
$_cookie['user']; 取回user值(名字)
setcookie("user","",time()-3600); 刪除cookie,第二個引數為空,第三個時間設定為小於系統的當前時間即可.
或在瀏覽器設定session的概念在使用cookie時,cookie自動生成乙個文字檔案儲存在ie瀏覽器的cookie臨時資料夾中,應用瀏覽器刪除cookie檔案的具體操作步驟為
>選擇ie瀏覽器中的工具/internet選項命令,開啟internet選項對話方塊,
>在常規選項卡中單擊刪除cookie按鈕,在彈出的對話方塊中單擊確定按鈕,即可成功刪除全部cookie檔案.
session 是存放在伺服器端的類似於hashtable結構(每一種web開發技術的實現可能不一樣,下文直接稱之為hashtable)來存放使用者資料;session機制是一種伺服器端的機制,伺服器使用一種類似於雜湊表的結構(也可能就是使用雜湊表)來儲存資訊。作用:實現網頁之間資料傳遞,是乙個儲存在伺服器端的物件集合。
原理:當使用者請求乙個asp.net頁面時,系統將自動建立乙個session;退出應用程式或關閉伺服器時,該session撤銷。系統在建立session時將為其分配乙個長長的字串標識,以實現對session進行管理與跟蹤。
儲存:儲存在server段的記憶體程序中的,而這個程序相當不穩定,經常會重啟,這樣重啟的話,就會造成session失效,使用者就必須要重新登入,使用者體驗相當差,比如使用者在填寫資料,快要結束的時候session失效,直接跳到登入頁面;
是否已經建立過session:
當程式需要為某個客戶端的請求建立乙個session時,伺服器首先檢查這個客戶端的請求裡是否已包含了乙個session標識(稱為session id),
如果已包含則說明以前已經為此客戶端建立過session,伺服器就按照session id把這個session檢索出來....使用(檢索不到,會新建乙個),
如果客戶端請求不包含session id,則為此客戶端建立乙個session並且生成乙個與此session相關聯的session id,
session id的值應該是乙個既不會重複,又不容易被找到規律以仿造的字串,這個session id將被在本次響應中返回給客戶端儲存。
(總結: 建立乙個session時,伺服器看這個客戶端 是否包含session標識, 是的話按照session id把session檢索出來,否則就得 新建乙個.)
session的客戶端實現形式(即session id的儲存方法):
一般瀏覽器提供了兩種方式來儲存,還有一種是程式設計師使用html隱藏域的方式自定義實現:表單隱藏字段就是伺服器會自動修改表單,新增乙個隱藏字段,以便在表單提交時能夠把session id傳遞歸伺服器。比如:[1] 使用cookie來儲存,這是最常見的方法,本文「記住我的登入狀態」功能的實現正式基於這種方式的。
伺服器通過設定cookie的方式將session id傳送到瀏覽器。
如果我們不設定這個過期時間,那麼這個cookie將不存放在硬碟上,當瀏覽器關閉的時候,cookie就消失了,這個session id就丟失了。
如果我們設定這個時間為若干天之後,那麼這個cookie會儲存在客戶端硬碟中,即使瀏覽器關閉,這個值仍然存在,下次訪問相應**時,同 樣會傳送到伺服器上。
[2] 使用url附加資訊的方式,也就是像我們經常看到jsp**會有aaa.jsp?jsessionid=*一樣的。這種方式和第一種方式裡面不設定cookie過期時間是一樣的。(url重寫,就是把session id直接附加在url路徑的後面。)
[3] 第三種方式是在頁面表單裡面增加隱藏域,這種方式實際上和第二種方式一樣,只不過前者通過get方式傳送資料,後者使用post方式傳送資料。但是明顯後者比較麻煩。
實際上這種技術可以簡單的用對action應用url重寫來代替。
session 用法:
使用者資訊儲存到session前,先啟動;
session_start(); 啟動session
$_session['user']="zy"; 設定使用者名稱
unset($_session['user']); 銷毀使用者名稱
session_destory(); 失去已經儲存的session的資料
cookie 和session 的區別:
1、cookie資料存放在客戶的瀏覽器上,session資料放在伺服器上.
簡單的說,當你登入乙個**的時候,如果web伺服器端使用的是session,那麼所有的資料都儲存在伺服器上面,
客戶端每次請求伺服器的時候會傳送 當前會話的session_id,伺服器根據當前session_id判斷相應的使用者資料標誌,以確定使用者是否登入,或具有某種許可權。
由於資料是儲存在伺服器 上面,所以你不能偽造,但是如果你能夠獲取某個登入使用者的session_id,用特殊的瀏覽器偽造該使用者的請求也是能夠成功的。
session_id是服務 器和客戶端鏈結時候隨機分配的,一般來說是不會有重複,但如果有大量的併發請求,也不是沒有重複的可能性,我曾經就遇到過一次。
登入某個**,開始顯示的 是自己的資訊,等一段時間超時了,一重新整理,居然顯示了別人的資訊。
session是由應用伺服器維持的乙個伺服器端的儲存空間,使用者在連線伺服器時,會由伺服器生成乙個唯一的sessionid,用該sessionid 為識別符號來訪問伺服器端的session儲存空間。而sessionid這一資料則是儲存到客戶端,用cookie儲存的,使用者提交頁面時,會將這一 sessionid提交到伺服器端,來訪問session資料。這一過程,是不用開發人員干預的。所以一旦客戶端禁用cookie,那麼session也會失效。
2、cookie不是很安全,別人可以分析存放在本地的cookie並進行cookie欺騙考慮到安全應當使用session。
3、session會在一定時間內儲存在伺服器上。當訪問增多,會比較占用你伺服器的效能考慮到減輕伺服器效能方面,應當使用cookie。
4、單個cookie儲存的資料不能超過4k,很多瀏覽器都限制乙個站點最多儲存20個cookie。(session物件沒有對儲存的資料量的限制,其中可以儲存更為複雜的資料型別)
注意:session很容易失效,使用者體驗很差;
雖然cookie不安全,但是可以加密 ;
cookie也分為永久 和暫時 存在的;
瀏覽器 有禁止cookie功能 ,但一般使用者都不會設定;
一定要設定失效時間,要不然瀏覽器關閉就消失了;
例如:記住密碼功能就是使用永久cookie寫在客戶端電腦,下次登入時,自動將cookie資訊附加傳送給服務端。
兩者最大的區別在於生存週期,乙個是ie啟動到ie關閉.(瀏覽器頁面一關 ,session就消失了)
乙個是預先設定的生存週期,或永久的儲存於本地的檔案。(cookie)
cookie與session的關聯
前提 cookie沒有被禁用。當用瀏覽器登入到某 伺服器時,先找對應的cookie檔案,當首次訪問是當然沒有cookie檔案,所以在請求頭部中沒有cookie的內容,即在請求頭部中沒有類似cookie jsessionid 的內容,這時當請求到達伺服器後,伺服器看請求頭中沒有jsessionid值,...
session與cookie的區別
讓我們用幾個例子來描述一下cookie和session機制之間的區別與聯絡。筆者曾經常去的一家咖啡店有喝5杯咖啡免費贈一杯咖啡的優惠,然而一次性消費5杯咖啡的機會微乎其微,這時就需要某種方式來紀錄某位顧客的消費數量。想象一下其實也無外乎下面的幾種方案 1 該店的店員很厲害,能記住每位顧客的消費數量,...
session與cookie的區別
1 session儲存在伺服器,客戶端不知道其中的資訊 cookie儲存在客戶端,伺服器能夠知道其中的資訊。2 session中儲存的是物件,cookie中儲存的是字串。3 session不能區分路徑,同乙個使用者在訪問乙個 期間,所有的session在任何乙個地方都可以訪問到。而cookie中如果...