PHPsession 和 cookie 的区别、存储机制

cookie

在网站中，http请求是无状态的。也就是说即使第一次和服务器连接并且登录成功后，第二次请求服务器的时候服务器仍然不能知道当前是哪个用户的请求。cookie的出现就是为了解决这个问题，第一次登录后服务器返回一些数据（cookie）给浏览器，然后浏览器保存到本地，当该用户第二次请求服务器响应的时候，就会自动的把上次请求存储的cookie数据携带给服务器，服务器通过浏览器携带的数据就能判断是哪个用户请求数据了。cookie存储的数据量有限，不同的浏览器有不同的存储大小，但一般不超过4kb，很多浏览器都限制一个站点最多保存20个cookie，因此使用cookie只能存储一些小量的数据

由于HTTP协议是无状态的协议，所以服务端需要记录用户的状态时，就需要用某种机制来识具体的用户，这个机制就是Session

session是一个服务器存储授权信息的解决方案，不同的服务器，不同的框架，不同的语言有不同的实现。虽然实现不一样，但是他们的目的都是为了服务器能够方便的存储数据。session的出现，解决了cookie存储数据不安全的问题。

例子：典型的场景比如购物车，当你点击下单按钮时，由于HTTP协议无状态，所以并不知道是哪个用户操作的，所以服务端要为特定的用户创建了特定的Session，用用于标识这个用户，并且跟踪用户，这样才知道购物车里面有几本书。这个Session是保存在服务端的，有一个唯一标识。在服务端保存Session的方法很多，内存、数据库、文件都有

思考一下服务端如何识别特定的客户？这个时候Cookie就登场了。每次HTTP请求的时候，客户端都会发送相应的Cookie信息到服务端。实际上大多数的应用都是用 Cookie 来实现Session跟踪的，第一次创建Session的时候，服务端会在HTTP协议中告诉客户端，需要在 Cookie 里面记录一个Session ID，以后每次请求把这个会话ID发送到服务器，我就知道你是谁了。

有人问，如果客户端的浏览器禁用了 Cookie 怎么办？

一般这种情况下，会使用一种叫做URL重写的技术来进行会话跟踪，即每次HTTP交互，URL后面都会被附加上一个诸如 sid=xxxxx 这样的参数，服务端据此来识别用户

在每个超链接上添加一个PHPSESSID=$sid

1. Session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中；
2. Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。

（1）Cookie以文本文件格式存储在浏览器中，而session存储在服务端它存储了限制数据量。它只允许4kb它没有在cookie中保存多个变量。

（2）cookie的存储限制了数据量，只允许4KB，而session是无限量的

（3）我们可以轻松访问cookie值但是我们无法轻松访问会话值，因此它更安全

（4）设置cookie时间可以使cookie过期。但是使用session-destory（），我们将会销毁会话。

session_id保存在cookie中，带有session_id的相应发送给客户端

默认会话保存管理器是以文件保存

第二次

把cookide中存放的session_id一起加到请求里，来访问服务器，服务接到请求，先初始化，如果有session_id读取session文件，在服务器中

如果没有session_id ,和第一次一样开启新的会话

session存储机制

1、浏览器是否携带session_id 如果携带就使用浏览器的，如果没有携带session_id,则创建session

2、初始化$_SESSION 这个变量 先读取session 文件里面的内容，在将内容反序列化赋值给$_SESSION这个变量

3、脚本运行周期内： $_SESSION 这个变量进行增删改查的操作，不会对session文件内容有任何影响

4、脚本执行结束：才对session文件进行操作才，会把$_SESSION数组中的数据序列化然后存储到session文件中

响应给客户端浏览器 F12 Set-Cookie

session_destroy() 遇到session_destroy() 就会把session文件删除， 但是内存还是有的

下面三个删除和当前session 相关的所有数据

1、清空内存中的所有的 session 数据
$_SESSION = array();

2、删除session文件就是
session_destroy()

3、删除cookie文件中的保存的session文件名称
setcookie(session_name(),",time()-1);

当前的名字 session_name()

session 垃圾回收机制

session 的垃圾回收机制 是当session_start() 的时候，会先判断哪些session文件已经过期，当session超过有效期之后，就会触发垃圾回收机制，并不是直接把过期的session文件都删除，而是有概率的删除，那么这个概率怎么计算的

删除的概率 = gc_propability / gc_divisor

session 劫持

第一步 就是在每个请求里面加上token，实现类似前面章节里面讲的防止form重复递交类似的功能，我们在每个请求 里面加上一个隐藏的token，然后每次验证这个token，从而保证用户的请求都是唯一性。

h := md5.New()
salt:="astaxie%^7&8888"
io.WriteString(h,salt+time.Now().String())  token:=fmt.Sprintf("%x",h.Sum(nil))
if r.Form["token"]!=token{
//提示登录 
}
sess.Set("token",token)

第二步.间隔生成新的SID
还有一个解决方案就是，我们给session额外设置一个创建时间的值，一旦过了一定的时间，我们销毁这个 sessionID，重新生成新的session，这样可以一定程度上防止session劫持的问题。

createtime := sess.Get("createtime") if createtime == nil {
    sess.Set("createtime", time.Now().Unix())
} else if (createtime.(int64) + 60) < (time.Now().Unix()) {
    globalSessions.SessionDestroy(w, r)
    sess = globalSessions.SessionStart(w, r) 
}

session启动后，我们设置了一个值，用于记录生成sessionID的时间。通过判断每次请求是否过期(这里设置了60秒) 定期生成新的ID，这样使得攻击者获取有效sessionID的机会大大降低。