session cookie 的區別和應用
阿新 • • 發佈:2019-01-03
對SESSION的爭論好象一直沒有停止過,不過么麼能理解SESSION的人應該佔90以上。但還是講講,別嫌老~
有一些人贊成用SESSION,有一些人不贊成。但這個問題到底要怎麼說。不妨聽聽我的看法,如果有錯誤請不要朝丟東西,金條和硬幣除外。
有些人應該知道我是做江湖程式的,而江湖程式做看中的就是效率,但這裡不談設計,而從一些比較實際的角度看SESSION。
首先要先說SESSION是幹什麼的,SESSION是可以儲存針對與某一個使用者的IE以及通過其當前視窗開啟的任何視窗具有針對性的使用者資訊儲存機制。為什麼要這樣說。看下邊先研究SESSION是如何啟動的,當開啟IE以後瀏覽網站後會發出一個指令請求SESSIONID以及對各個型別資料的下載許可,如圖片,聲音以及FLASH。
資料實際傳輸內容:IE到伺服器
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.souzz.net
on: Keep-Alive
伺服器會返回一個沒有被使用的SESSIONID讓IE使用,當時IE就對返回SESSIONID做儲存
並同時返回相關頁面的下載資料,如下:伺服器到IE
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private
然後就是頁面HTML程式碼此時這個IE程式(不是客戶機)的SESSIONID就為IBOMFONAOJFEEBHBPIENJFFC而當IE在訪問任何這個站點的ASP程式的時候,就會把IBOMFONAOJFEEBHBPIENJFFC傳送給伺服器,伺服器就會知道IBOMFONAOJFEEBHBPIENJFFC是表示你而在伺服器上設定SESSION("name")="name"完全可以看成是SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name"
或者
SESSION(SESSIONID)("name")="name"
這樣,SESSION就區分開使用者了。
而當伺服器反饋這個ID的時候會看這個ID有沒有被使用。如果有在換一個
反正不會讓你重複,如果想模擬某人的SESSION的ID來進行欺騙是可以的。不過要獲取到對方IE傳輸訊號,並且在保證當時這個SESSIONID沒有被取消的情況下才可能實施。
不過要是我有那時間直接通過POST訊號找他NAME和PASS了。我可不費這個勁,想必一些人明白了了SESSIONID到底是如何工作的,那麼就在看看COOKIE,有人說SESSIONID就是COOKIE,按照技術上來講他們不屬於同類,但是屬於一種工作模式,使用者和伺服器傳輸私有資料.當我設定COOKIE的時候,伺服器會反饋給IE一個指令。IE通過這個網路指令生成COOKIE並存放,在特定的時候會取得這個這個資訊如在訪問這個站點並且COOKID有效的時候。
那麼為什麼要用COOKIE而不用SESSION呢
看下區別
有效時間以及儲存方式 傳輸內容
COOKIE 可設定並在本地保留 明碼資訊
SESSION 在IE不關閉並伺服器不超時 只有SESSIONID
當如果想讓使用者下次登入網站不需要輸入使用者名稱或者密碼的時候就只能用COOKIE,
因為他可以保留相當長的時間(在COOKIE記錄被刪除或者失效日期之前)
而SESSION就不可以,他不會保留太長時間,而且IE在關閉後就自動清除了SESSIONID記錄
在下次登入的時候會請求新的SESSIONID
而伺服器想通過使用者個人變數校驗使用者的狀態的時候,就不能用COOKIE
如果用設定使用者許可權是USER。而IE訪問的時候就把USER的明碼傳輸到伺服器。
那麼如果我通過一定手段,比如直接修改COOKIE記錄,把USER修改成ADMIN呢~~
就麻煩了。
但儲存使用者名稱和密碼或者網站的配色方案這樣的資訊,用COOKIE是最好的
好,有點累了,在說說這個東西
Request.ServerVariables("HTTP_REFERER")
我想有一些人通過這個Request.ServerVariables("HTTP_REFERER")
來進行一些關鍵性限制,特別是對付遠端提交以及非法侵入。
那麼我就要提醒下伺服器取得的HTTP_REFERER資訊完全是IE傳輸給伺服器的,可以模擬
而且難度不大,用不到半個小時就可以用VB做出一個針對HTTP_REFERER入侵程式。
(可惜我原先那他沒幹正經事情,做WEB遊戲掛機程式來的)
附一個不錯的回貼:
------------------------------------------------------------------------------------------------------
COOKIE 是本地檔案,是40大盜在阿里巴巴家做的記號,
或者是送牛奶的人在你家門口釘的箱子。
SESSION 是伺服器端記憶體,是你洗澡時浴池發給你的鑰匙。
自己專用,可以開自己的好多箱子。
APPLICATION 是公共浴池。
在這裡能看見所有人,包括ppmm哦:)。
轉自:http://www.souzz.net/plus/view.php?aid=3232
有一些人贊成用SESSION,有一些人不贊成。但這個問題到底要怎麼說。不妨聽聽我的看法,如果有錯誤請不要朝丟東西,金條和硬幣除外。
有些人應該知道我是做江湖程式的,而江湖程式做看中的就是效率,但這裡不談設計,而從一些比較實際的角度看SESSION。
首先要先說SESSION是幹什麼的,SESSION是可以儲存針對與某一個使用者的IE以及通過其當前視窗開啟的任何視窗具有針對性的使用者資訊儲存機制。為什麼要這樣說。看下邊先研究SESSION是如何啟動的,當開啟IE以後瀏覽網站後會發出一個指令請求SESSIONID以及對各個型別資料的下載許可,如圖片,聲音以及FLASH。
資料實際傳輸內容:IE到伺服器
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.souzz.net
on: Keep-Alive
伺服器會返回一個沒有被使用的SESSIONID讓IE使用,當時IE就對返回SESSIONID做儲存
並同時返回相關頁面的下載資料,如下:伺服器到IE
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private
然後就是頁面HTML程式碼此時這個IE程式(不是客戶機)的SESSIONID就為IBOMFONAOJFEEBHBPIENJFFC而當IE在訪問任何這個站點的ASP程式的時候,就會把IBOMFONAOJFEEBHBPIENJFFC傳送給伺服器,伺服器就會知道IBOMFONAOJFEEBHBPIENJFFC是表示你而在伺服器上設定SESSION("name")="name"完全可以看成是SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name"
或者
SESSION(SESSIONID)("name")="name"
這樣,SESSION就區分開使用者了。
而當伺服器反饋這個ID的時候會看這個ID有沒有被使用。如果有在換一個
反正不會讓你重複,如果想模擬某人的SESSION的ID來進行欺騙是可以的。不過要獲取到對方IE傳輸訊號,並且在保證當時這個SESSIONID沒有被取消的情況下才可能實施。
不過要是我有那時間直接通過POST訊號找他NAME和PASS了。我可不費這個勁,想必一些人明白了了SESSIONID到底是如何工作的,那麼就在看看COOKIE,有人說SESSIONID就是COOKIE,按照技術上來講他們不屬於同類,但是屬於一種工作模式,使用者和伺服器傳輸私有資料.當我設定COOKIE的時候,伺服器會反饋給IE一個指令。IE通過這個網路指令生成COOKIE並存放,在特定的時候會取得這個這個資訊如在訪問這個站點並且COOKID有效的時候。
那麼為什麼要用COOKIE而不用SESSION呢
看下區別
有效時間以及儲存方式 傳輸內容
COOKIE 可設定並在本地保留 明碼資訊
SESSION 在IE不關閉並伺服器不超時 只有SESSIONID
當如果想讓使用者下次登入網站不需要輸入使用者名稱或者密碼的時候就只能用COOKIE,
因為他可以保留相當長的時間(在COOKIE記錄被刪除或者失效日期之前)
而SESSION就不可以,他不會保留太長時間,而且IE在關閉後就自動清除了SESSIONID記錄
在下次登入的時候會請求新的SESSIONID
而伺服器想通過使用者個人變數校驗使用者的狀態的時候,就不能用COOKIE
如果用設定使用者許可權是USER。而IE訪問的時候就把USER的明碼傳輸到伺服器。
那麼如果我通過一定手段,比如直接修改COOKIE記錄,把USER修改成ADMIN呢~~
就麻煩了。
但儲存使用者名稱和密碼或者網站的配色方案這樣的資訊,用COOKIE是最好的
好,有點累了,在說說這個東西
Request.ServerVariables("HTTP_REFERER")
我想有一些人通過這個Request.ServerVariables("HTTP_REFERER")
來進行一些關鍵性限制,特別是對付遠端提交以及非法侵入。
那麼我就要提醒下伺服器取得的HTTP_REFERER資訊完全是IE傳輸給伺服器的,可以模擬
而且難度不大,用不到半個小時就可以用VB做出一個針對HTTP_REFERER入侵程式。
(可惜我原先那他沒幹正經事情,做WEB遊戲掛機程式來的)
附一個不錯的回貼:
------------------------------------------------------------------------------------------------------
COOKIE 是本地檔案,是40大盜在阿里巴巴家做的記號,
或者是送牛奶的人在你家門口釘的箱子。
SESSION 是伺服器端記憶體,是你洗澡時浴池發給你的鑰匙。
自己專用,可以開自己的好多箱子。
APPLICATION 是公共浴池。
在這裡能看見所有人,包括ppmm哦:)。
轉自:http://www.souzz.net/plus/view.php?aid=3232