【转】Session与Cookie的比较

最近发现写博客也是提高学习效率的有效途径之一。好记性不如烂笔头，归纳总结时，你会发现总有一些东西你认为很熟了，它却在细微处讽刺你的错误。我学习COOKIE与SESSION时，几乎把社区所有相关的帖子都下载了，研究过后，总结了这么点东西，权做备案，日后需要再慢慢查阅！如果有人觉得这篇博客里的内容似曾相识也不要奇怪，这只是笔记，没有侵犯版权的意思。欢迎大家来指点错误，我们一起来完善这个课题。

1、HTTP协议本身是无状态的。

我们上网都要靠HTTP协议传递信息。比如我们在浏览器里键入：www.bokee.com这个网址并回车，你会发现网址会变成：http://www.bokee.com，其原因就是浏览的网页是基于http协议的。http协议无法记录用户经常上哪些网站，有什么爱好，也无法记录用户的ID帐号和密码。这就是所谓的HTTP协议无状态。HTTP协议本身是无状态的，这与HTTP协议本来的目的是相符的，客户端只需要简单的向服务器请求下载某些文件，无论是客户端还是服务器都没有必要纪录彼此过去的行为，每一次请求之间都是独立的，好比一个顾客和一个自动售货机或者一个普通的（非会员制）大卖场之间的关系一样，你认得它们，它们则肯定认不得你。

2、怎样理解cookie和session？

由于cookie和session关系密切，这里我们一并介绍。

打个比方：在河南时，我常到一家熟食店买馋嘴鸭，该店老板为了促进销售，特发布“每购满10只即可免费赠送一只”的优惠措施。除了家里有什么红白喜事要飨客之外，应该不会有人一次性购买10只烤鸭吧？所以老板得想个法子来记录顾客的消费数量，这里总共有三种方案：

Ⅰ、老板记住每一个顾客的消费数量，等到顾客消费满10只的时候自动奉送一只。这好比HTTP协议本身是有状态的，可以记住顾客的活动行为。但遗憾的是，出于种种考虑http协议本身是不能有状态的，老板自个也没有这么超常的记忆力，故这种方案行不通！

Ⅱ、老板发给顾客一张积分卡，上面记录着消费的数量，一般还有个有效期限。每次买烤鸭时，如果顾客出示这张卡片，老板就知道这位顾客曾经光顾过小店。这种做法就是在客户端保持状态，好比是cookie技术。打开（windows系统）C:\Documents and Settings\用户名\Cookies，你会发现一些*.txt格式的小文件，这就是你浏览某些网站，它们发给你的“积分卡”(cookies)。

Ⅲ、老板发给顾客一张会员卡，除了卡号之外什么信息也不纪录，每次买烤鸭时，如果顾客出示该卡片，则老板搬出店里的划名册，找到你的卡号并加1个积分。这种做法就是在服务器端保持状态。

好比是session技术。

cookie和session最大的区别在于： cookie是把积分卡发给顾客，上面记录了顾客所有的消费信息。Session则是把只有卡号(session id)的积分卡发给顾客，自家记录了顾客所有的消费信息。Cookie是保存在客户端的；session是保存在服务器端，而session id则是保存在客户端，通常也是一个cookie小文件，由于这个小文件除了session id(好比卡号)外什么也没有，因此比cookie安全多了。

3、cookie和session有什么用？

常见的用法，比如在有些网站下载东西需要会员先登陆。http协议本身是无状态的，无法得知顾客是否已经登陆，怎么办呢？cookie和session就可以知道。再比如网上购物，购物车怎么知道顾客挑选过哪些商品呢？cookie和session也可以记录。总而言之，cookie和session就是能够记录顾客状态的技术，尽管二者属于不同的技术，但只要cookie能做到的，session也能做到！COOKIE攻略

1、什么是cookie？

0Cookie技术是一个非常有争议的技术，自经诞生它就成了广大网络用户和Web开发人员的一个争论焦点。有一些网络用户，甚至包括一些资深的Web专家也对它的产生和推广感到不满，这倒不是因为Cookie技术的功能太弱或别的技术性能上的原因，而仅仅是因为他们觉得Cookie的使用，对网络用户的隐私构成了危害。因为Cookie是由Web服务器保存在用户浏览器上的小文本文件，它包含有关用户的信息（如身份识别号码、密码、用户在Web站点上购物的方式或用户访问该站点的次数）。

那么Cookie技术究竟怎样呢？是否真的给网络用户带来了个人隐私的危害呢？还是让我们看了下面的内容，再做回答吧。

在WEB技术发展史上，Cookie技术的出现是一个重大的变革。最先是Netscape在它的Netscape Navigator 浏览器中引入了Cookie技术，从那时起，World Wide Web 协会就开始支持Cookie标准。以后又经过微软的大力推广（因为微软的IIS Web服务器所采用的ASP技术很大程度的使用了Cookie技术），即在微软的Internet Explorer浏览器中完全支持Cookie技术。到现在，绝大多数的浏览器都支持Cookie技术，或者至少兼容Cookie技术的使用。

按照Netscape官方文档中的定义，Cookie是在HTTP协议下，服务器或脚本可以维护客户工作站上信息的一种方式。Cookie是由Web服务器保存在用户浏览器上的小文件，它可以包含有关用户的信息（如身份识别号码、密码、用户在Web站点购物的方式或用户访问该站点的次数）。无论何时用户链接到服务器，Web站点都可以访问Cookie信息。

如果你使用的是windows系统，那么请打开C:\Documents and Settings\用户名\Cookies，你会发现该目录下有好多*.txt格式的小文件。那就是cookie文件。当然，在该目录下你也可能什么都发现不了，那时因为你新装了系统或者从未浏览过因特网，也或者你的浏览器禁用了cookie。否则该目录下总会有点东西的。

通俗地讲，浏览器用一个或多个限定的文件来支持Cookie。这些文件在使用Windows操作系统的机器上叫做Cookie文件，在Macintosh机器上叫做magic Cookie 文件，这些文件被网站用来在上面存储Cookie数据。网站可以在这些Cookie文件中插入信息，这样对有些网络用户就有些副作用。有些用户认为这造成了对个人隐私的侵犯，更糟的是，有些人认为Cookie是对个人空间的侵占，而且会对用户的计算机带来安全性的危害。

目前有些Cookie是临时的，另一些则是持续的。临时的Cookie只在浏览器上保存一段规定的时间，一旦超过规定的时间该Cookie就会被系统清除。例如在PHP中Cookie被用来跟踪用户进程直到用户离开网站。持续的Cookie则保存在用户的Cookie文件中，下一次用户返回时，仍然可以对它进行调用。

在Cookie文件中保存Cookie，一些用户会过分地认为这将带来很大的问题。主要是有些用户担心Cookie会跟踪用户网上冲浪的习惯，譬如用户喜爱到那些类型的站点、爱从事些什么活动等。害怕这种个人信息一旦落入一些别有用心的家伙手中，那么个人也就可能成为一大堆广告垃圾的对象，甚至遭到意外的损害。不过，这种担心压根儿不会发生，因为网站以外的用户是无法跨过网站来获得Cookie信息的。所以想以这种目的来应用Cookie是不可能的。不过，由于一些用户错误的理解以及“以讹传讹”，一些浏览器开发商别无选择，只好作出相适的响应（例如Netscape Navigator4.0和Internet Explorer3.0都提供了屏蔽Cookie的选项）。 个人认为，无风不起浪，如果网站程序员没有严谨思路的话，cookie确实也存在些许安全问题，不过这些瑕疵并不足以掩盖cookie的优秀品质，大多数人还是非常乐意使用它的。

对Cookie技术期待了这么久的结果是，迫使许多浏览器开发商在它们的浏览器中提供了对Cookie的灵活性控制功能。例如，目前的两大主流浏览器Netscape Navigator 和 Internet Explorer是这样处理Cookie的:Netscape Navigator4.0不但可以接受Cookie进行警告，而且还可以屏蔽掉Cookie；InternetExplorer3.0也可以屏蔽Cookie，但在Internet Explorer4.0中就只能进行接受警告而没有提供屏蔽选项，不过在Internet Explorer4.0之后的更新版本中又加入了屏蔽Cookie的功能选项。

此外，很多最新的技术甚至已经可以在不能屏蔽Cookie的浏览器上进行Cookie的屏蔽了。例如，可以通过将Cookie文件设置成不同的类型来限制Cookie的使用。但是，非常不幸地是，要是你想完全屏蔽Cookie的话，肯定会因此拒绝许多的站点页面。因为当今已经有许多Web站点开发人员爱上了Cookie技术的强大功能，例如Session对象的使用就离不开Cookie的支持。

2、Cookie工作原理？

当客户访问某个基于PHP技术的网站时，在PHP中可以使用setcookie函数生成一个cookie，系统经处理把这个cookie发送到客户端并保存在C:\Documents and Settings\用户名\Cookies目录下。cookie是 HTTP标头的一部分, 因此setcookie函数必须在任何内容送到浏览器之前调用。这种限制与header()函数一样(如需了解head()函数，请自行查阅)。当客户再次访问该网站时，浏览器会自动把C:\Documents and Settings\用户名\Cookies目录下与该站点对应的cookie发送到服务器，服务器则把从客户端传来的cookie将自动地转化成一个PHP变量。在PHP5中，客户端发来的cookie将被转换成全局变量。你可以通过$_COOKIE[‘xxx’]读取。

尽管今天仍有一些网络用户对于Cookie的争论乐此不倦，但是对于绝大多数的网络用户来说还是倾向于接受Cookie的。因此，我们尽可以放心地使用Cookie技术来开发我们的WEB页面。

3、Cookie常见函数

● SetCookie 函数创建了一个Cookie，并且把它附加在HTTP头的后面。必须注意的一点是：Cookie是HTTP协议头的一部分，用于浏览器和服务器之间传递信息，所以必须在任何属于HTML文件本身的内容输出之前调用SetCookie函数，调用该函数前即使有空格、空白行都不行。如果setCookie()认了第二，就没有哪个元素敢认第一。使用setcookie()函数的前提是客户浏览器支持cookie，如果客户将之禁用的话，setcookie()也就英雄无用武之地了。

int SetCookie(string name, string value, int expire, string path, string domain, int secure,bool httponly);

参数说明：

name;设置cookie变量的名称。

value;设置cookie的值。

expire;设置cookie过期时间。如果要把cookie保存为浏览器进程，即浏览器关闭后就失效。那么可以直接把expiretime设为0。Eg:setcookie(“name”,”value”,0)。该参数不设置的话，关闭浏览器也能结束一个cookie。

path:表示web服务器上的目录,默认为被调用页面所在目录. 这里还有一点要说明的，比如你的站点有几个不同的目录(比如一个购物目录，一个论坛目录)，那么如果只用不带路径的Cookie的话，在一个目录下的页面里设的Cookie在另一个目录的页面里是看不到的，也就是说，Cookie是面向路径的。实际上，即使没有指定路径，WEB服务器会自动传递当前的路径给浏览器的，指定路径会强制服务器使用设置的路径。解决这个问题的办法是在调用SetCookie时加上路径和域名，域名的格式可以是“http://www.phpuser.com/”，也可是“.phpuser.com”。 SetCookie函数里表示value的部分，在传递时会自动被encode，也就是说，如果value的值是“test value”在传递时就变成了“test%20value”，跟URL的方法一样。当然，对于程序来说这是透明的，因为在PHP接收Cookie的值时会自动将其decode。

domain:cookie可以使用的域名,默认为被调用页面的域名。这个域名必须包含两个".",所以如果你指定你的顶级域名,你必须用".mydomain.com" 。设定域名后，必须采用该域名访问网站cookie才有效。如果你使用多个域名访问该页，那么这个地方可以为空或者访问这个cookie的域名都是一个域下面的。

secure:如果设为"1"，表示cookie只能被用户的浏览器认为是安全的服务器所记住。

除了name之外所有的参数都是可选的。value,path,domain三个参数可以用空字符串""代换，表示没有设置；expire 和 secure两个参数是数值型的，可以用0表示。expire参数是一个标准的Unix时间标记，可以用time()或mktime()函数取得，以秒为单位。secure参数表示这个Cookie是否通过加密的HTTPS协议在网络上传输。

httponly:如果设为1，则表示cookie只能被http协议所使用，任何脚本语言，比如javascrīpt是不能获取PHP所创建的cookie的，这就有效削弱了来自XSS的攻击。(注意了：这是PHP5才有的选项，咱也没有用过。看了官方手册尝试着翻译的，如有疑问，请参考官方手册。)

当前设置的Cookie不是立即生效的，而是要等到下一个页面或刷新后才能看到.这是由于在设置的这个页面里Cookie由服务器传递给客户浏览器，在下一个页面或刷新后浏览器才能把Cookie从客户的机器里取出传回服务器的原因。

小道消息

16岁德国学生通过cookie破解Hotmail

德国16岁学生Adriaan Graas对于网络安全以及Web开发很有兴趣，他还发现了Hotmail破解之道。在一周多之后的今天，微软还未修复该漏洞。

这名小黑客的想法很简单，当用户登陆Hotmail时，系统将会生成一个cookie方便下次登陆。由于该cookie并未绑定IP，因此黑客可以假冒这些cookie并用于登陆，甚至不需要知道受害人的密码甚至email地址。通过XSS黑客可以插入一段javascrīpt代码，利用log scrīpt将cookie发送到某个web服务器，脚本可以通过PHP，ASP，CGI等语言编写。

Cookie应用案例：

●创建一个cookie:

SetCookie()

●创建cookie数组：

其一：

SetCookie("CookieArray[]", "Value 1");

SetCookie("CookieArray[]", "Value 2");

其二：

SetCookie("CookieArray[0]", "Value 1");

SetCookie("CookieArray[1]", "Value 2");

● 接收和处理Cookie

PHP对Cookie的接收和处理的支持非常好，是完全自动的，跟GET,POST变量的原则一样，特别简单。

比如设置一个名为MyCookier的Cookie，PHP会自动从WEB服务器接收的HTTP头里把它分析出来，并形成一个可直接使用的全局变量，名为$_COOKIE[‘MyCookie’]，这个变量的值就是Cookie的值。数组同样适用。

分别举例如下：（假设这些都在以前的页面里设置过了，并且仍然有效）

echo $_COOKIE[‘MyCookie’];

取出cookie数组的例子：

<?php

// 创建一个cookie数组

setcookie("cookie[three]", "cookiethree");

setcookie("cookie[two]", "cookietwo");

setcookie("cookie[one]", "cookieone");

// 页面刷新之后，用foreach提取cookie数组。

if (isset($_COOKIE['cookie'])) {

foreach ($_COOKIE['cookie'] as $name => $value) {

echo "$name : $value <br />\n";

}

}

?>

就这么简单。

● 删除Cookie

要删除一个已经存在的Cookie，有两个办法：

1、调用只带有name参数的SetCookie，那么名为这个name的Cookie将被从关系户机上删掉；

setcookie(“MyCookie”); //删除MyCookie。

2、设置Cookie的失效时间为time()或time()-1//time()减多少没有关系啦，只要是过期时间就行//，那么这个Cookie在这个页面的浏览完之后就被删除了（其实是失效了）。例如：

setcookie(“MyCookie”,”Value”,time()-1); //删除MyCookie。

要注意的是，当一个Cookie被删除时，它的值在当前页在仍然有效的。

如果要把cookie保存为浏览器进程，即浏览器关闭后就失效。那么可以直接把expiretime设为0。例如:setcookie(“name”,”value”,0)。该参数不设置的话，关闭浏览器也能结束一个cookie。

Cookie注意事项

1、SetCookie()之前不能有任何html输出，它认了第二，没有哪个元素敢认第一，就是空格，空白行都不行。

2、SetCookie()后，你在当前页调用echo $_COOKIE["name"]不会有输出。必须刷新或到下一个页面才可以看到Cookie值。原因很简单。SetCookie()执行之后，往客户端发送一个cookie，你不刷新或浏览下一个页面，客户端怎么把cookie给你送回去呀？浏览器创建了一个Cookie后，对于每一个针对该网站的请求，都会在Header中带着这个Cookie；不过，对于其他网站的请求Cookie是绝对不会跟着发送的。而且浏览器会这样一直发送，直到Cookie过期为止。

3、使用Cookie的限制。一个浏览器能创建的Cookie数量最多为30个，并且每个不能超过4KB，每个WEB站点能设置的Cookie总数不能超过20个。 (这是书上看到的说法，应该是一个web站点能创建的Cookie不能超过30个吧，要不然，我机子里的cookie少说也上百了，请达人指教！)

4、Cookie是保存在客户端的，用户禁用了Cookie，你的Cookie自然也就没作用啦！现在的浏览器，每当咱发送一个Cookie给客户端，他就像看门狗一样给拦截住了，并询问用户是否允许Cookie进门。天，用户又不是专家，有几个人知道啥叫Cookie呀？搞不好都当病毒拒之门外了。

转自：http://blog.163.com/lgh_2002/blog/static/44017526200711333625932/