cookie概念
在瀏覽某些 ** 時,這些**會把 一些資料存在 客戶端 , 用於使用** 等跟蹤使用者,實現使用者自定義 功能.
原理: 如果瀏覽器使用的是 cookie,那麼所有的資料都儲存在瀏覽器端, 比如你登入以後,伺服器設定了 cookie使用者名稱(username),那麼,當你再次請求伺服器的時候,瀏覽器會將username一塊傳送給伺服器,這些變數有一定的特殊標記。 服 務器會解釋為 cookie變數。 所以只要不關閉瀏覽器,那麼 cookie變數便一直是有效的,所以能夠保證長時間不掉線。 如果你能夠截獲某個使用者的 cookie變數,然後偽造乙個資料報傳送過去,那麼伺服器還是認為你是合法的。所以,使用 cookie被攻擊的可能性比較大。 如果設定了的有效時間,那麼它會將 cookie儲存在客戶端的硬碟上,下次再訪問該**的時候,瀏覽器先檢查有沒有 cookie,如果有的話,就讀取該 cookie,然後傳送給伺服器。 如果你在機器上面儲存了某個論壇 cookie,有效期是一年,如果有人入侵你的機器,將你的 cookie拷走,然後放在他的瀏覽器的目錄下面,那麼他登入該**的時候就是用你的的身份登入的。 所以 cookie是可以偽造的。 當然,偽造的時候需要主意,直接copy cookie檔案到 cookie目錄,瀏覽器是不認的, 他有乙個index.dat檔案,儲存了 cookie檔案的建立時間,以及是否有修改,所以你必須先要有該**的 cookie檔案,並且要從保證時間上騙過瀏覽器, 曾經在學校的vbb論壇上面做過試驗,copy別人的 cookie登入,冒用了別人的名義發帖子,完全沒有問題。
cookie 用法:
setcookie("user","zy",time()+3600); 設定user為zy,一小時之後失效; $_cookie['user']; 取回user值(名字) setcookie("user","",time()-3600); 刪除cookie,第二個引數為空,第三個時間設定為小於系統的當前時間即可.或在瀏覽器設定 在使用cookie時,cookie自動生成乙個文字檔案儲存在ie瀏覽器的cookie臨時資料夾中,應用瀏覽器刪除cookie檔案的具體操作步驟為 >選擇ie瀏覽器中的工具/internet選項命令,開啟internet選項對話方塊, >在常規選項卡中單擊刪除cookie按鈕,在彈出的對話方塊中單擊確定按鈕,即可成功刪除全部cookie檔案.
session的概念
session 是存放在伺服器端的類似於hashtable結構(每一種web開發技術的實現可能不一樣,下文直接稱之為hashtable)來存放使用者資料; 作用:實現網頁之間資料傳遞,是乙個儲存在伺服器端的物件集合。 原理:當使用者請求乙個asp.net頁面時,系統將自動建立乙個session;退出應用程式或關閉伺服器時,該session撤銷。系統在建立session時將為其分配乙個長長的字串標識,以實現對session進行管理與跟蹤。
session機制是一種伺服器端的機制,伺服器使用一種類似於雜湊表的結構(也可能就是使用雜湊表)來儲存資訊。
session 用法:
使用者資訊儲存到session前,先啟動;
session_start(); 啟動session
$_session['user']="zy"; 設定使用者名稱
unset($_session['user']); 銷毀使用者名稱
session_destory(); 失去已經儲存的session的資料
cookie 和session 的區別:
1、cookie資料存放在客戶的瀏覽器上,session資料放在伺服器上.
簡單的說,當你登入乙個**的時候,如果web伺服器端使用的是session,那麼所有的資料都儲存在伺服器上面,
客戶端每次請求伺服器的時候會傳送 當前會話的session_id,伺服器根據當前session_id判斷相應的使用者資料標誌,以確定使用者是否登入,或具有某種許可權。
由於資料是儲存在伺服器 上面,所以你不能偽造,但是如果你能夠獲取某個登入使用者的session_id,用特殊的瀏覽器偽造該使用者的請求也是能夠成功的。
session_id是服務 器和客戶端鏈結時候隨機分配的,一般來說是不會有重複,但如果有大量的併發請求,也不是沒有重複的可能性,我曾經就遇到過一次。
登入某個**,開始顯示的 是自己的資訊,等一段時間超時了,一重新整理,居然顯示了別人的資訊。
session是由應用伺服器維持的乙個伺服器端的儲存空間,使用者在連線伺服器時,會由伺服器生成乙個唯一的sessionid,用該sessionid 為識別符號來訪問伺服器端的session儲存空間。而sessionid這一資料則是儲存到客戶端,用cookie儲存的,使用者提交頁面時,會將這一 sessionid提交到伺服器端,來訪問session資料。這一過程,是不用開發人員干預的。所以一旦客戶端禁用cookie,那麼session也會失效。
2、cookie不是很安全,別人可以分析存放在本地的cookie並進行cookie欺騙考慮到安全應當使用session。
3、session會在一定時間內儲存在伺服器上。當訪問增多,會比較占用你伺服器的效能考慮到減輕伺服器效能方面,應當使用cookie。
4、單個cookie儲存的資料不能超過4k,很多瀏覽器都限制乙個站點最多儲存20個cookie。(session物件沒有對儲存的資料量的限制,其中可以儲存更為複雜的資料型別)
注意:session很容易失效,使用者體驗很差;
雖然cookie不安全,但是可以加密 ;
cookie也分為永久 和暫時 存在的;
瀏覽器 有禁止cookie功能 ,但一般使用者都不會設定;
一定要設定失效時間,要不然瀏覽器關閉就消失了;
例如:記住密碼功能就是使用永久cookie寫在客戶端電腦,下次登入時,自動將cookie資訊附加傳送給服務端。
兩者最大的區別在於生存週期,乙個是ie啟動到ie關閉.(瀏覽器頁面一關 ,session就消失了)
乙個是預先設定的生存週期,或永久的儲存於本地的檔案。(cookie)
cookie與session的關聯
前提 cookie沒有被禁用。當用瀏覽器登入到某 伺服器時,先找對應的cookie檔案,當首次訪問是當然沒有cookie檔案,所以在請求頭部中沒有cookie的內容,即在請求頭部中沒有類似cookie jsessionid 的內容,這時當請求到達伺服器後,伺服器看請求頭中沒有jsessionid值,...
session與cookie的區別
讓我們用幾個例子來描述一下cookie和session機制之間的區別與聯絡。筆者曾經常去的一家咖啡店有喝5杯咖啡免費贈一杯咖啡的優惠,然而一次性消費5杯咖啡的機會微乎其微,這時就需要某種方式來紀錄某位顧客的消費數量。想象一下其實也無外乎下面的幾種方案 1 該店的店員很厲害,能記住每位顧客的消費數量,...
session與cookie的區別
1 session儲存在伺服器,客戶端不知道其中的資訊 cookie儲存在客戶端,伺服器能夠知道其中的資訊。2 session中儲存的是物件,cookie中儲存的是字串。3 session不能區分路徑,同乙個使用者在訪問乙個 期間,所有的session在任何乙個地方都可以訪問到。而cookie中如果...