Cookie和Seesion

Cookie和Seesion

Cookie和Session都用来保存状态信息，做会话处理，都是保存客户端状态的机制，它们都是为了解决HTTP无状态的问题而所做的努力。 Session存储在服务器，一般通过Cookie来存储其生成的唯一ID（seesionID），当Cookie被禁用时，通常用URL回写的机制来替换Cookie。

Cookie和Session有一些不同：

存储位置的不同：Cookie将状态保存在客户端，Session将状态保存在服务器端；
与HTTP协议的关系不同：Cookie需要通过网络传输，依赖于HTTP协议，Session并没有在HTTP的协议中定 义；
可用性不同：相对于Cookie，Session在客户端禁用Cookie后还可以通过URL回写机制实现Session会话机制。
安全性不同：因为存储的位置不同，Cookie更容易被篡改，存储在服务器的Session相对来说则安全一些，客户不能随意读取这些内容，除非获到其它用户的了sessionID，这也是XSS攻击会关注的地方。

大部分使用php的人一旦应用到session都会使用cookie。cookie虽好可是它也会给我们带来一些隐患的。

隐患一：如果客户端机器的cookie一旦因病毒而失效了，那么session也就相当于没有了。

隐患二：session在php中默认的是以文件的形式保存在一个临时文件夹里面的，对于一个小型系统来说，这样做完全可以，

可是对于一个大型而又被经常访问的系统来说，就不是很好的办法了。假设这个网站一天有1000个人访问。一个月以后session的临时文件夹就会有30000个临时文件。想象一下计算机要从30000里面找一条session_sid是一个多么漫长的事情呀！交易使用用数据库保存session。具体方法如下：

1.更改php.ini文件。

由于php默认保存session的方式是files所以我们要改变它。即：找到“session.save_handler = files”将“files”改为“User”。

把session的模式改成用户自定义的。

2.建立数据库：

CREATE TABLE `db_session` (

`sesskey` char(32) NOT NULL,

`expiry` int(11) unsigned NOT NULL,

`value` text NOT NULL,

PRIMARY KEY (`sesskey`)

) ENGINE=InnoDB DEFAULT CHARSET=latin1;

数据库表明：db_session

列名：sesskey，expiry，value　其中：sesskey为主键。

Value里面存放着session里面的值。

3.建立session_mysql.php文件。这个文件是用来构造保存session的方法的。修改一下参数直接使用就可以了。

session_mysql.php

<?php

$gb_DBname="db_myBBS";//数据库名称

$gb_DBuser="root";//数据库用户名称

$gb_DBpass="23928484";//数据库密码

$gb_DBHOSTname="localhost";//主机的名称或是IP地址

$SESS_DBH="";

$SESS_LIFE=get_cfg_var("session.gc_maxlifetime");//得到session的最大有效期。

function sess_open($save_path,$session_name){

global $gb_DBHOSTname,$gb_DBname,$gb_DBuser,$gb_DBpass,$SESS_DBH;

if(!$SESS_DBH=mysql_pconnect($gb_DBHOSTname,$gb_DBuser,$gb_DBpass)){

echo "<li>MySql Error:".mysql_error()."<li>";

die();

}

if(!mysql_select_db($gb_DBname,$SESS_DBH)){

echo "<li>MySql Error:".mysql_error()."<li>";

die();

}

return true;

}

function sess_close(){

return true;

}

function sess_read($key){

global $SESS_DBH,$SESS_LIFE;

$qry="select value from db_session where sesskey = '$key' and expiry > ".time();

$qid=mysql_query($qry,$SESS_DBH);

if(list($value)=mysql_fetch_row($qid)){

return $value;

}

return false;

}

function sess_write($key,$val){

global $SESS_DBH,$SESS_LIFE;

$expiry=time()+$SESS_LIFE;

$value=$val;

$qry="insert into db_session values('$key',$expiry,'$value')";

$qid=mysql_query($qry,$SESS_DBH);

if(!$qid){

$qry="update db_session set expiry=$expiry, value='$value' where sesskey='$key' and expiry >".time();

$qid=mysql_query($qry,$SESS_DBH);

}

return $qid;

}

function sess_destroy($key){

global $SESS_DBH;

$qry="delete from db_session where sesskey = '$key'";

$qid=mysql_query($qry,$SESS_DBH);

return $qid;

}

function sess_gc($maxlifetime){

global $SESS_DBH;

$qry="delete from db_session where expiry < ".time();

$qid=mysql_query($qry,$SESS_DBH);

return mysql_affected_rows($SESS_DBH);

}

session_module_name();

session_set_save_handler("sess_open","sess_close","sess_read","sess_write","sess_destroy","sess_gc");

?>

4.建立测试文件。

在使用之前必须引用刚刚建立的session_mysql.php文件。

session_test.php

<?php

include ("session_mysql.php");

session_start();

$_SESSION['abc']= "A: I will be back!";

$_SESSION['meto']= "B: Me too ";

$_SESSION['name']= "louis ";

echo "<a href=\"get_session_test.php\">click me</a>";

?>

get_session_test.php

<?php

include ("session_mysql.php");

session_start();

echo $_SESSION['abc'];

echo "<br>";

echo $_SESSION['meto'];

echo "<br>";

echo $_SESSION['name'];

$_SESSION['wq']="12e";

echo "<br><a href=\"get_session_test2.php\">click again</a>";

?>

get_session_test2.php

<?php

include ("session_mysql.php");

session_start();

echo $_SESSION['abc'];

echo "<br>";

echo $_SESSION['meto'];

echo "<br>";

echo $_SESSION['name'];

echo "<br>";

echo $_SESSION['wq'];

//session_destroy();//用来销毁所有session的函数。

?>