session與cookies的區別

2024-07-09 22:39:36

字體：大中小

來源：轉載

供稿：網友

    session變量保存在客戶端主機的內存上，關閉瀏覽器或者session腳本過期后，即自動清除。

    cookies保存在客戶端主機的硬盤上，可以自行設置cookies的存在周期，除非設置了臨時cookies，否則關閉瀏覽器后cookies信息仍舊保存在主機的硬盤上。

    Cookies的安全性能一直是倍受爭議的。雖然Cookies是保存在本機上的，但是其信息的完全可見性且易于本地編輯性，往往可以引起很多的安全問題。所以Cookies到底該不該用，到底該怎樣用，就有了一個需要給定的底線。

    先來看看，網站的敏感數據有哪些。

    登陸驗證信息。一般采用Session("Logon")＝true or false的形式。

    用戶的各種私人信息，比如姓名等，某種情況下，需要保存在Session里

    需要在頁面間傳遞的內容信息，比如調查工作需要分好幾步。每一步的信息都保存在Session里，最后在統一更新到數據庫。

    當然還會有很多，這里列舉一些比較典型的

    假如，一個人孤僻到不想碰Session，因為他認為，如果用戶萬一不小心關閉了瀏覽器，那么之前保存的數據就全部丟失了。所以，他出于好意，決定把這些用Session的地方，都改成用Cookies來存儲，這完全是可行的，且基本操作和用Session一模一樣。那么，下面就針對以上的3個典型例子，做一個分析

    很顯然，只要某個有意非法入侵者，知道該網站驗證登陸信息的Session變量是什么，那么他就可以事先編輯好該Cookies，放入到Cookies目錄中，這樣就可以順利通過驗證了。這是不是很可怕？

    Cookies完全是可見的，即使程序員設定了Cookies的生存周期（比如只在用戶會話有效期內有效），它也是不安全的。假設，用戶忘了關瀏覽器或者一個惡意者硬性把用戶給打暈，那用戶的損失將是巨大的。

    這點如上點一樣，很容易被它人竊取重要的私人信息。但，其還有一個問題所在是，可能這些數據信息量太大，而使得Cookies的文件大小劇增。這可不是用戶希望所看到的。

    顯然，Cookies并不是那么一塊好啃的小甜餅。但，Cookies的存在，當然有其原因。它給予程序員更多發揮編程才能的空間。所以，使用Cookies改有個底線。這個底線一般來說，遵循以下原則。

    不要保存私人信息。

    任何重要數據，最好通過加密形式來保存數據（最簡單的可以用URLEncode，當然也可以用完善的可逆加密方式，遺憾的是，最好不要用md5來加密）。

    是否保存登陸信息，需有用戶自行選擇。

    長于10K的數據，不要用到Cookies。

    也不要用Cookies來玩點讓客戶驚喜的小游戲。

上一篇：如何選擇既省錢又省心的虛擬主機?

下一篇：flash 透明代碼