session和cookie的最深刻理解_ASP教程

2024-07-21 02:04:55

字體：大中小

供稿：網(wǎng)友

推薦：ASP應(yīng)用程序設(shè)計的Web狀態(tài)管理分析
許多開發(fā)人員把應(yīng)用程序傳送到Web之前從來沒考慮狀態(tài)的概念。正如前面說過的，Web是一個無狀態(tài)的環(huán)境。因此應(yīng)該探討一下狀態(tài)是什么，了解能夠避免產(chǎn)生問題的方法。狀態(tài)的準(zhǔn)確定義在單用戶

先說session

對SESSION的爭論好象一直沒有停止過，不過幺麼能理解SESSION的人應(yīng)該占90以上。
但還是講講，別嫌老~

有一些人贊成用SESSION，有一些人不贊成。但這個問題到底要怎么說。不妨聽聽我的看法

如果有錯誤請不要朝丟東西，金條和硬幣除外。

有些人應(yīng)該知道我是做江湖程序的，而江湖程序做看中的就是效率，但這里不談設(shè)計，而

從一些比較實際的角度看SESSION。

首先要先說SESSION是干什么的，SESSION是可以存儲針對與某一個用戶的IE以及通過其當(dāng)

前窗口打開的任何窗口具有針對性的用戶信息存儲機制。為什么要這樣說。看下邊

先研究SESSION是如何啟動的，當(dāng)打開IE以后瀏覽網(wǎng)站后會發(fā)出一個指令請求SESSIONID以

及對各個類型數(shù)據(jù)的下載許可，如圖片，聲音以及FLASH。
數(shù)據(jù)實際傳輸內(nèi)容：IE到服務(wù)器
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.jh521.com
Connection: Keep-Alive
服務(wù)器會返回一個沒有被使用的SESSIONID讓IE使用，當(dāng)時IE就對返回SESSIONID做存儲

并同時返回相關(guān)頁面的下載數(shù)據(jù)，如下:服務(wù)器到IE
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private
然后就是頁面HTML代碼

此時這個IE程序(不是客戶機)的SESSIONID就為IBOMFONAOJFEEBHBPIENJFFC

而當(dāng)IE在訪問任何這個站點的ASP程序的時候，就會把IBOMFONAOJFEEBHBPIENJFFC發(fā)送

給服務(wù)器，服務(wù)器就會知道IBOMFONAOJFEEBHBPIENJFFC是表示你
而在服務(wù)器上設(shè)置SESSION("name")="name"
完全可以看成是
SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name"
或者
SESSION(SESSIONID)("name")="name"
這樣，SESSION就區(qū)分開用戶了。
而當(dāng)服務(wù)器反饋這個ID的時候會看這個ID有沒有被使用。如果有在換一個
反正不會讓你重復(fù)，如果想模擬某人的SESSION的ID來進行欺騙是可以的。不過要獲取到

對方IE傳輸信號，并且在保證當(dāng)時這個SESSIONID沒有被取消的情況下才可能實施。

不過要是我有那時間直接通過POST信號找他NAME和PASS了。我可不費這個勁

想必一些人明白了了SESSIONID到底是如何工作的

那么就在看看COOKIE,有人說SESSIONID就是COOKIE，按照技術(shù)上來講他們不屬于同類

但是屬于一種工作模式，用戶和服務(wù)器傳輸私有數(shù)據(jù)

當(dāng)我設(shè)置COOKIE的時候，服務(wù)器會反饋給IE一個指令。IE通過這個網(wǎng)絡(luò)指令生成COOKIE并

存放,在特定的時候會取得這個這個信息如在訪問這個站點并且COOKID有效的時候。

那么為什么要用COOKIE而不用SESSION呢
看下區(qū)別

有效時間以及存儲方式傳輸內(nèi)容
COOKIE 可設(shè)置并在本地保留明碼信息

SESSION 在IE不關(guān)閉并服務(wù)器不超時只有SESSIONID

當(dāng)如果想讓用戶下次登入網(wǎng)站不需要輸入用戶名或者密碼的時候就只能用COOKIE,

因為他可以保留相當(dāng)長的時間(在COOKIE記錄被刪除或者失效日期之前)

而SESSION就不可以，他不會保留太長時間，而且IE在關(guān)閉后就自動清除了SESSIONID記錄

在下次登入的時候會請求新的SESSIONID

而服務(wù)器想通過用戶個人變量校驗用戶的狀態(tài)的時候，就不能用COOKIE

如果用設(shè)置用戶權(quán)限是USER。而IE訪問的時候就把USER的明碼傳輸?shù)椒?wù)器。

那么如果我通過一定手段，比如直接修改COOKIE記錄，把USER修改成ADMIN呢~~

就麻煩了。

但存儲用戶名和密碼或者網(wǎng)站的配色方案這樣的信息，用COOKIE是最好的

好，有點累了，在說說這個東西
Request.ServerVariables("HTTP_REFERER")

我想有一些人通過這個Request.ServerVariables("HTTP_REFERER")
來進行一些關(guān)鍵性限制,特別是對付遠(yuǎn)程提交以及非法侵入。
那么我就要提醒下服務(wù)器取得的HTTP_REFERER信息完全是IE傳輸給服務(wù)器的，可以模擬
而且難度不大，用不到半個小時就可以用VB做出一個針對HTTP_REFERER入侵程序。

分享：ASP實例代碼：長文章分頁代碼設(shè)置方法
以下為引用的內(nèi)容： <%Class aspxsky_page Private Sub class_initialize End Sub Public Function Alert(messa

上一篇：全面解析Server對象_ASP教程

下一篇：簡單WEB開發(fā)規(guī)范_ASP教程