1.ASP
在ASP中,Session必须倚赖Cookie才可用,Session是存储在服务器端的,而Cookie是存储在客户端的,相对
而言,Session的安全性和可靠程度都比Cookie高。
2.PHP
在PHP中,通过相关的配置,可以让Session不依赖Cookie而存在。
php.ini中,把session.use_trans_sid设成1,那么连接的后面就会自己加sessionid,就通过url来传递
session的key了,这时客户端就算禁止了cookie也可以使用session
这是因为:
Session,储存于服务器端(默认以文件方式存储Session),根据客户端提供的Session ID来得到用户的文
件,取得变量的值,Session ID可以使用客户端的Cookie或者Http1.1协议的Query_String(就是访问的URL的“
?”后面的部分)来传送给服务器,然后服务器 读取Session的目录
最后说明:
php.ini 中 SESSION 的配置
session.use_only_cookies = 1; // 开启仅使用cookies存放会话id
session.use_trans_sid = 1; // 允许SessionID通过URL明文传输
在这种情况下虽然已经允许了SessionID通过URL明文传输,担是同时又开启了仅使用cookies存放会话SessionID,所以在URL中明文传输的PHPSESSIONID参数值是无效的,SESSION不能用。
php.ini 中 SESSION 的配置
session.use_trans_sid = 0; // 禁止SessionID通过URL方式明文传输
SESSION 不能用, 这是最这安全的做法,也是php.ini 的默认配置
Session机制
Session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是散列表)来保存信息。当程序需要为某个客户端的请求来创建一个session的时候,服务器首先检测这个客户端的请求里是否已经包含了一个session标识-称为session_id,如果包含则说明以前已经为此客户端创建过session,服务器就按照session_id把这个session检索出来使用(如果检索不到,可能为新建一个),如果客户端请求不包含session_id,则为客户端创建一个session并且生成一个与此session相关联的session_id,这个session_id将在本次响应中返回给客户端。