PHP中使用会话控制（cookie & session）

1、什么是会话控制

HTTP是一种无状态协议，它的内部没有一个内建机制来维护两个事务之间的状态。当一个用户在请求一个页面后再请求另一个页面，HTTP将无法告诉我们这两个请求时来自同一个用户。

会话控制的思想是指能够在网站中根据一个会话跟踪用户，这样可以很容易的做到对用户登录的支持，并根据其授权级别和个人喜好显示相应的内容，我们可以根据会话控制记录该用户行为，还可以实现购物车。

2、理解基本的会话功能

PHP的会话是通过唯一的会话ID来驱动的，会话ID是一个加密的随机数字。它由PHP生成，在会话的生命周期中会保存在客户端，它可以保存在用户机器里的cookie中，或者通过URL在网络上传递。

会话ID就像一把钥匙，它允许我们注册一些特定的变量，也成为会话变量。这些变量的内容会保存在服务器端。会话ID是客户端唯一可见信息。如果在一次特定的网站链接中，客户端可以通过cookie或URL看到会话ID，那么我们就可以访问该会话保存在服务器中的会话变量。在默认情况下，会话变量保存在服务器上的普通文件中。

把会话ID保存在URL中，如果在URL中有一串看起来像随机数字的字符串，可能它就是某种形式的会话控制。

cookie是与会话不同的解决方案，它也解决了在多个事务之间保持状态的问题，同时还可以保持一个整洁的URL。

会话控制过程：用户登录或者第一次浏览某个站点的页面时，该站点会生成一个PHP的会话ID并通过cookie发送到客户端（浏览器）。当用户点击该站点的另一个页面时，浏览器开始连接这个URL。在连接之前，浏览器会先搜索本地保存的cookie，如果在cookie中有任何与正在连接的URL相关的cookie，就将它提交到服务器。而刚好在登陆或第一次连接时，已经产生了一个与该网站URL相关的cookie（保存的会话ID），所以当用户再次连接这个站点时，站点就可以通过这个会话ID识别出用户，从服务器的会话文件中取出与这个会话ID相关的会话变量，从而保持事务之间的连续。

3、什么是Cookie

cookie是在服务器端被创建并写回到客户端浏览器，浏览器接到响应头中关于写cookie的指令则在本地临时文件夹中。创建了一个cookie文件，其中保存了你的cookie内容，cookie内容的存储是键值对的方式，键和值都只能是字符串。
cookie其实就是一小段信息，它可以由脚本在客户端机器保存。可以通过发送一个包含特定数据并且具有如下格式的HTTP标题头，从而在用户端机器设置一个cookie：
Set-Cookie：NAME = VALUE; [expires=DATE;] [path=PATH;] [domain=DOAMIN_NAME;]  [secure]
这会创建一个名为NAME，值为VALUE的cookie。除了该参数，其它参数都是可选的。expires域设置该cookie的失效日期（如果不设置失效日期将永远有效，除非手动删除）。path和domain域结合起来制定URL或与cookie有关的URL。secure的关键字的意思是在普通的HTTP连接中不发动cookie。
当浏览器连接一个URL时，首先要搜索当地保存的cookie。如果有任何与正在连接的URL相关的cookie，浏览器将它提交到服务器。

4、什么是Session

Session是由应用服务器维持的一个服务器端的存储空间，用户在连接服务器时，会由服务器创建生成一个唯一的sessionID，用该sessionID为标识符来存取服务器端的Session存储空间，在会话期间，分配给客户端的唯一sessionID,用来标识当前用户，与其他用户进行区分。通过SessionID接受每一次访问的请求,从而识别当前用户,跟踪和保持用户的具体资料,以及session变量，可在session中存储数字或文字资料.比如session_name.这些信息都保存在服务器端。当然，sessionID也可以作为会话信息保存到数据库中，进行session持久化。这样可以跟踪用户的登陆次数、在线与否、在线时间等从而维护HTTP无状态事物之间的关系。session的内容存储是键值对的列表，键是字符串类型，session的存储更方便，值可以是对象。

在session会话期间，session会分别保存在客户端和服务器端两个文件，客户端可以是cookie方式保存的sessionID(默认的保存方式)或通过url字符串形式传递。服务器端一般以文本的形式保存在指定的session目录中。在服务器端我们可以通过session.use_cookies来控制客户端使用哪一种保存方式。如果定义为cookie保存方式，我们可以通过session.cookie_lifetime(默认值0，闭浏览器就清除)来控制被保存在client上的cookie的有效期。而如果客户端用cookie方式保存的sessionID，则使用“临时”的cookie保存(cookie的名称为PHPSESSID，通过Firebug你可以了解到详细的信息，该名称你可以通过php.ini
session.name进行更改)，用户提交页面时，会将这一SessionID提交到服务器端，来存取session数据。这一过程，是不用开发人员干预的。

5、SESSION和COOKIE的区别与联系

相同点：都可以在解决HTTP无状态的问题,使同一个客户端在访问网站的多次请求中,可以保存,设置信息,并且在请求事物之间建立联系。

不同点：简单的说cookie的信息保存在客户端，session的信息保存在服务器端。

Session采用键值对,也就是说ID存放客户端,而值放在服务器端,是通过用户的ID去找服务器上对应的值,这种方式值放置在服务器端,有个时间限制,时间到则服务器自动回收/释放。

Cookies则有两种方法,一种方法是把值保存在浏览器的变量中,当浏览器关闭时结束,另一种方法是保存在硬盘中,只要时间不过期,下次还可使用。

联系：当客户端使用基于Cookie方式保存的SessionID时,SessionID一般保存在cookie中。

备注：cookie在相同内核的浏览器之间是共享的，不同内核浏览器是不共享的例如火狐和IE（存放位置都不同，当然不共享）。不同内核浏览器不能共享cookie，也会产生不同sessionid。