而對於儲存 在記憶體的cookie,不同的瀏覽器有不同的處理方式。
原理:如果瀏覽器使用的是 cookie,那麼所有的資料都儲存在瀏覽器端,
比如你登入以後,伺服器設定了 cookie使用者名稱(username),那麼,當你再次請求伺服器的時候,瀏覽器會將username一塊傳送給伺服器,這些變數有一定的特殊標記。
服 務器會解釋為 cookie變數。
所以只要不關閉瀏覽器,那麼 cookie變數便一直是有效的,所以能夠保證長時間不掉線。
如果你能夠截獲某個使用者的 cookie變數,然後偽造乙個資料報傳送過去,那麼伺服器還是認為你是合法的。所以,使用 cookie被攻擊的可能性比較大。
如果設定了的有效時間,那麼它會將 cookie儲存在客戶端的硬碟上,下次再訪問該**的時候,瀏覽器先檢查有沒有 cookie,如果有的話,就讀取該 cookie,然後傳送給伺服器。
如果你在機器上面儲存了某個論壇 cookie,有效期是一年,如果有人入侵你的機器,將你的 cookie拷走,然後放在他的瀏覽器的目錄下面,那麼他登入該**的時候就是用你的的身份登入的。
所以 cookie是可以偽造的。
當然,偽造的時候需要主意,直接copy cookie檔案到 cookie目錄,瀏覽器是不認的,
他有乙個index.dat檔案,儲存了 cookie檔案的建立時間,以及是否有修改,所以你必須先要有該**的 cookie檔案,並且要從保證時間上騙過瀏覽器,
曾經在學校的vbb論壇上面做過試驗,copy別人的 cookie登入,冒用了別人的名義發帖子,完全沒有問題。
cookie 用法:
setcookie("user","zy",time()+3600); 設定user為zy,一小時之後失效;
$_cookie['user']; 取回user值(名字)
setcookie("user","",time()-3600); 刪除cookie,第二個引數為空,第三個時間設定為小於系統的當前時間即可.
或在瀏覽器設定
在使用cookie時,cookie自動生成乙個文字檔案儲存在ie瀏覽器的cookie臨時資料夾中,應用瀏覽器刪除cookie檔案的具體操作步驟為
>選擇ie瀏覽器中的工具/internet選項命令,開啟internet選項對話方塊,
>在常規選項卡中單擊刪除cookie按鈕,在彈出的對話方塊中單擊確定按鈕,即可成功刪除全部cookie檔案.
session的概念
session 是存放在伺服器端的類似於hashtable結構(每一種web開發技術的實現可能不一樣,下文直接稱之為hashtable)來存放使用者資料;
作用:實現網頁之間資料傳遞,是乙個儲存在伺服器端的物件集合。
原理:當使用者請求乙個asp.net頁面時,系統將自動建立乙個session;退出應用程式或關閉伺服器時,該session撤銷。系統在建立session時將為其分配乙個長長的字串標識,以實現對session進行管理與跟蹤。
session機制是一種伺服器端的機制,伺服器使用一種類似於雜湊表的結構(也可能就是使用雜湊表)來儲存資訊。
儲存:儲存在server段的記憶體程序中的,而這個程序相當不穩定,經常會重啟,這樣重啟的話,就會造成session失效,使用者就必須要重新登入,使用者體驗相當差,比如使用者在填寫資料,快要結束的時候session失效,直接跳到登入頁面;
是否已經建立過session:
當程式需要為某個客戶端的請求建立乙個session時,伺服器首先檢查這個客戶端的請求裡是否已包含了乙個session標識(稱為session id),
如果已包含則說明以前已經為此客戶端建立過session,伺服器就按照session id把這個session檢索出來....使用(檢索不到,會新建乙個),
如果客戶端請求不包含session id,則為此客戶端建立乙個session並且生成乙個與此session相關聯的session id,
session id的值應該是乙個既不會重複,又不容易被找到規律以仿造的字串,這個session id將被在本次響應中返回給客戶端儲存。
(總結: 建立乙個session時,伺服器看這個客戶端 是否包含session標識, 是的話按照session id把session檢索出來,否則就得 新建乙個.)
session的客戶端實現形式(即session id的儲存方法):
一般瀏覽器提供了兩種方式來儲存,還有一種是程式設計師使用html隱藏域的方式自定義實現:
[1] 使用cookie來儲存,這是最常見的方法,本文「記住我的登入狀態」功能的實現正式基於這種方式的。
伺服器通過設定cookie的方式將session id傳送到瀏覽器。
如果我們不設定這個過期時間,那麼這個cookie將不存放在硬碟上,當瀏覽器關閉的時候,cookie就消失了,這個session id就丟失了。
如果我們設定這個時間為若干天之後,那麼這個cookie會儲存在客戶端硬碟中,即使瀏覽器關閉,這個值仍然存在,下次訪問相應**時,同 樣會傳送到伺服器上。
[2] 使用url附加資訊的方式,也就是像我們經常看到jsp**會有aaa.jsp?jsessionid=*一樣的。這種方式和第一種方式裡面不設定cookie過期時間是一樣的。(url重寫,就是把session id直接附加在url路徑的後面。)
[3] 第三種方式是在頁面表單裡面增加隱藏域,這種方式實際上和第二種方式一樣,只不過前者通過get方式傳送資料,後者使用post方式傳送資料。但是明顯後者比較麻煩。
表單隱藏字段就是伺服器會自動修改表單,新增乙個隱藏字段,以便在表單提交時能夠把session id傳遞歸伺服器。比如:
實際上這種技術可以簡單的用對action應用url重寫來代替。
session 用法:
使用者資訊儲存到session前,先啟動;
session_start(); 啟動session
$_session['user']="zy"; 設定使用者名稱
unset($_session['user']); 銷毀使用者名稱
session_destory(); 失去已經儲存的session的資料
cookie 和session 的區別:
1、cookie資料存放在客戶的瀏覽器上,session資料放在伺服器上.
簡單的說,當你登入乙個**的時候,如果web伺服器端使用的是session,那麼所有的資料都儲存在伺服器上面,
客戶端每次請求伺服器的時候會傳送 當前會話的session_id,伺服器根據當前session_id判斷相應的使用者資料標誌,以確定使用者是否登入,或具有某種許可權。
由於資料是儲存在伺服器 上面,所以你不能偽造,但是如果你能夠獲取某個登入使用者的session_id,用特殊的瀏覽器偽造該使用者的請求也是能夠成功的。
session_id是服務 器和客戶端鏈結時候隨機分配的,一般來說是不會有重複,但如果有大量的併發請求,也不是沒有重複的可能性,我曾經就遇到過一次。
登入某個**,開始顯示的 是自己的資訊,等一段時間超時了,一重新整理,居然顯示了別人的資訊。
session是由應用伺服器維持的乙個伺服器端的儲存空間,使用者在連線伺服器時,會由伺服器生成乙個唯一的sessionid,用該sessionid 為識別符號來訪問伺服器端的session儲存空間。而sessionid這一資料則是儲存到客戶端,用cookie儲存的,使用者提交頁面時,會將這一 sessionid提交到伺服器端,來訪問session資料。這一過程,是不用開發人員干預的。所以一旦客戶端禁用cookie,那麼session也會失效。
2、cookie不是很安全,別人可以分析存放在本地的cookie並進行cookie欺騙考慮到安全應當使用session。
3、session會在一定時間內儲存在伺服器上。當訪問增多,會比較占用你伺服器的效能考慮到減輕伺服器效能方面,應當使用cookie。
4、單個cookie儲存的資料不能超過4k,很多瀏覽器都限制乙個站點最多儲存20個cookie。(session物件沒有對儲存的資料量的限制,其中可以儲存更為複雜的資料型別)
Session和Cookie的區別
session和cookie的區別 1 儲存的位置不同 session儲存在伺服器端的記憶體中,占用伺服器資源。cookie是儲存在客戶端。可以是瀏覽器中或者是檔案中 2 儲存的時間不同 session是關閉當前會話相關瀏覽器後自動清空。cookie是根據過期時間而會有不同。3 安全性不同 sess...
cookie和session的區別
一 cookie機制和session機制的區別 具體來說cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在伺服器端保持狀態的方案。同時我們也看到,由於在伺服器端保持狀態的方案在客戶端也需要儲存乙個標識,所以session機制可能需要借助於cookie機制來達到儲存標識的目...
cookie和session的區別
分類 計算機網路 2011 10 21 10 43 4785人閱讀收藏 舉報 session 瀏覽器伺服器 servlet url儲存 一 cookie機制和session機制的區別 具體來說cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在伺服器端保持狀態的方案。同時我...