第一篇：session和cookie會話技術(shù)總結(jié)

什么是會話控制

出現(xiàn)原因:http是無狀態(tài)協(xié)議的,每次都是不同的服務(wù)器請求,無法維護兩個請求事務(wù)之間的關(guān)系.會話控制:能夠在網(wǎng)站中跟蹤一個變量,通過對變量的跟蹤,就可以使多個請求事物之間建立聯(lián)系,根據(jù)授權(quán)和用戶身份顯示不同的內(nèi)容,不同頁面

cookie:是服務(wù)器設(shè)置在客戶端的文本文件,保存客戶端的個人信息.什么是Cookie: 1.2.3.cookie是在http協(xié)議下,服務(wù)器或腳本在客戶端保存維護信息的一種方式

cookie是web服務(wù)器保存在客戶端的一個很小的文本文件,保存客戶端的信息,提高網(wǎng)頁的處理效率,降低服務(wù)器負擔

cookie保存在客戶端,通常在瀏覽器的cookie臨時文件夾中,可以手動的刪除.如果cookie太多超過系統(tǒng)的允許范圍,系統(tǒng)將自動刪除

cookie的工作原理

1.當用戶訪問基于php技術(shù)的網(wǎng)站時,在php中可以使用setcookie()函數(shù)生成一個cookie,系統(tǒng)經(jīng)過處理,將cookie發(fā)送到客戶端并保存在C:Documents and Setting用戶名Cookies目錄下

2.cookie是http標頭的一部分,在它之前不能有任何輸出，空格和換行都不可以

3.當客戶端再次訪問網(wǎng)站時,瀏覽器會自動把cookie目錄下與該站點對應(yīng)的cookie信息發(fā)送到服務(wù)器,服務(wù)器將自動把客戶端傳來的cookie轉(zhuǎn)化成php的變量,.php5中存放在$_COOKIE全局數(shù)據(jù)中

4.接受和處理cookie.使用$_COOKIE獲取

COOKIE的參數(shù)設(shè)定

Setcookie(鍵，值，有效期=0，有效路徑=‘’，有效域名=‘’，是否僅安全連接傳輸=false，是否HTTPonly=false)

1、鍵：設(shè)置cookie的名字，數(shù)據(jù)是在響應(yīng)階段被傳輸?shù)綖g覽器端的

2、值：設(shè)置cookie的值

Tip：增加，修改，刪除，都使用該函數(shù)setcookie()完成！

3、有效期：默認瀏覽器關(guān)閉（會話周期結(jié)束）時，COOKIE失效。也成之為：會話COOKIE（臨時COOKIE）

允許設(shè)置COOKIE的有效期，語法上，使用setcookie的第三個參數(shù)進行設(shè)置，通過unix時間戳（從1970年到現(xiàn)在的秒數(shù)，PHP函數(shù)time()來獲取當前時間戳。）來設(shè)置COOKIE的有效期。

當用戶下次訪問您的站點的時候，瀏覽器會先檢查您站點的所有cookie,如果某個cookie已經(jīng)過期，瀏覽器不會把這個cookie隨頁面請求一起發(fā)送給服務(wù)器，而是刪除這個已經(jīng)過期的cookie。時間點是從cookie被創(chuàng)建時候當前時間開始計算。誰來判斷該COOKIE是否過期？(是否在有效期內(nèi))瀏覽器

OR 服務(wù)器？

是瀏覽器判斷該COOKIE是否過期的。

在設(shè)置COOKIE時，同時將COOKIE的有效期，告知（傳輸）到瀏覽器端。如何刪除COOKIE：

Time()-1: 刪除COOKIE通用做法，強制設(shè)為過期。

注意: 當cookie被刪除時,它的值在當前頁面仍然有效.如果要把cookie設(shè)置成在瀏覽器關(guān)閉后就失效.那么可以把expiretime的值設(shè)為0,或者不設(shè)此值

4、path有效路徑（使用較少）：默認僅在當前目錄及其后代目錄有效。使用空字符串表示

默認值！通常如果需要設(shè)置，就是將COOKIE設(shè)置為 / 根目錄下有效，表示整站有效。

5、有效域（使用頻率較高）：某個域名下設(shè)置的COOKIE，僅僅可以在當前域名下所使用

COOKIE，支持在一級域名內(nèi)（所有的二級域名之間）進行COOKIE數(shù)據(jù)共享。

6、secure是否僅安全連接（https）傳輸：

告知瀏覽器，我們所設(shè)置的cookie，是否僅僅在https這個協(xié)議下，才會被發(fā)送到瀏覽器端！用 參數(shù) 第六個完成設(shè)置：默認值false，表示都可以（http和https）。

7、HTTPONLY：

所設(shè)置好的COOKIE，是否僅僅在http請求時所使用。COOKIE還可以通過瀏覽器端的腳本（javascript）獲取到。function getCookie(){

alert(document.cookie);} 如果需要禁止瀏覽器端其他腳本使用該cookie，則使用第七個參數(shù)即可，默認false，設(shè)置為true表示除了http請求，其它地方（javascript）不可以用

COOKIE的有效期：

設(shè)置方法如下：

setcookie(“cookie_name”, “abcd”, time()+3600);

解釋：這個cookie有3600秒的有效期；

cookie有效期在退出作用域那一刻開始生效；

重新訪問又有3600秒，設(shè)置cookie時，不會考慮之前的是否設(shè)置cookie和cookie是否有效，可以認為是強制設(shè)置。

如果關(guān)閉瀏覽器重新打開又重新算（當然這個要php.ini設(shè)置了關(guān)閉瀏覽器立即失效的開關(guān)），其實就是打開頁面產(chǎn)生cokeie開始算起，如果你打開頁面產(chǎn)生cokeie的時間有1800秒了，假如設(shè)置的3600秒失效，再次刷新頁面就剩1800秒了 PHP手冊上關(guān)于setcookie函數(shù)的expire參數(shù)有這樣一個解釋：

If set to 0, or omitted, the cookie will expire at the end of the session(when the browser closes).如果設(shè)為0 或者忽略該參數(shù), cookie將在session結(jié)束時(關(guān)閉瀏覽器時)過期 COOKIE的注意事項

1.setcookie()之前不能有任何的輸出,空白和空格也不行(Setcookie()為頭信息設(shè)置)2.setcookie()之后在當前頁面echo時不會輸出,必須刷新或到下一個頁面才會輸出

3.不同瀏覽對cookie的處理不同,客戶端可以禁用cookie,而且對瀏覽器的數(shù)量有限制.一個瀏覽器可以最多創(chuàng)建300個cookie,每個不能超過4kb,每個站點最多設(shè)置20個 4.避免過度依賴cookie,因為客戶端會禁止掉cookie 什么是session? 1.session從用戶訪問頁面開始,到斷開與網(wǎng)站的連接為止,形成一個會話的生命周期.在會話期間,分配客戶唯一的一個sessionID,用來標識當前用戶,與其他用戶進行區(qū)分

2.session會話時,session會分別保存在客戶端和服務(wù)器端的兩個文件,對于客戶端:使用臨時的cookie保存(cookie的名稱為PHPSESSID)或者通過url字符串的形式傳遞.服務(wù)器端也以文本的形式保存在指定的session目錄中

3.session通過id接受每一次訪問的請求,從而識別當前用戶,跟蹤和保持用戶的具體資料,以及session變量,可在session中存儲數(shù)字或文字資料.比如session_name.這些信息都保存在服務(wù)器端

4.sessionID可以作為會話信息保存到數(shù)據(jù)庫中,進行session持久化.這樣可以跟蹤用戶的登陸次數(shù),在線與否,在線時間

如何銷毀session

1、unset($_SESSION['XXX']):用于刪除單個session變量

注意:不要使用unset($_SESSION),此函數(shù)不可用,會刪除全局的$_SESSION銷毀

2、$_SESSION=array():刪除多個session變量

3、銷毀session_destroy():結(jié)束當前的會話,并清空會話中的所有資源.該函數(shù)不會unset(釋放)和當前session相關(guān)的全局變量,也不會刪除客戶端的session cookie

4、清空session值 session_start();$_SESSION=array();session的過期時間

session的過期時間由兩方面決定的;

1存儲在客戶端的$_COOKIE['PHPSESSID']的過期時間（默認cookie名稱為PHPSESSID,可通過php.ini中的session.name修改。）

2.存儲在服務(wù)器端的相對應(yīng)的session文件（session文件名和上述cookie的值一一對應(yīng)），默認為1440秒，即24分鐘

兩者的關(guān)系： 當執(zhí)行session_start()的時候，其實是做了兩件事：

1，檢查客戶端發(fā)送過來的的所有cookie（當然也包括$_COOKIE['PHPSESSID'], 如果有的話），根據(jù)$_COOKIE['PHPSESSID']的值（這是由apache產(chǎn)生的隨機字符串，如0lkbd2se458r600m2m7o1r4ic5）來訪問 相對應(yīng)的 session文件，這兩者是一 一對應(yīng)的關(guān)系。當然文件里面的值是經(jīng)過序列化的

2，如果客戶端沒有傳來$_COOKIE['PHPSESSID']，就會有服務(wù)端產(chǎn)生一個隨機的$_COOKIE['PHPSESSID']并存儲在客戶端。需要理解：

1、在session_start()開啟之后，當session數(shù)據(jù)對應(yīng)的PHPSESSIONID的cookie已經(jīng)超時，無法傳回到服務(wù)器端，此時由于session開啟，系統(tǒng)會自動再重新分配一個SESSIONID標識，SESSIONID默認是存儲于瀏覽器端。

2、同時在session_start開啟之后，如果之前有存儲過session，并且沒有過期，則會獲取到已經(jīng)存好的session，如果沒有存儲過session，則session機制默認也會自動分配一個SESSIONID給瀏覽器，同時在服務(wù)器端生成對應(yīng)的文件，此時的session是一個過期的會話

如何設(shè)置 session數(shù)據(jù)的屬性？

設(shè)置COOKIE中session-ID這個COOKIE變量屬性即可！方案一，配置 php.ini 方案二，在腳本中，開啟session之前使用函數(shù)進行配置 ini_set('session.cookie_lifetime','3600');ini_set('sesssion.cookie_domain','.baidu.com');@session_start();采用下面的函數(shù)進行設(shè)置：

Session_set_cookie_params(有效期，有效路徑，有效域，是否僅安全連接傳輸，是否HTTPONLY)實際環(huán)境中，很少改session的有效期。經(jīng)常改有效域名。session_set_cookie_params(0,'/', '.baidu.com');Session數(shù)據(jù)區(qū)操作：

重寫session的存儲機制：

Session數(shù)據(jù)區(qū)默認以 文件的形式存儲與服務(wù)器操作系統(tǒng)臨時目錄中！

當 session數(shù)據(jù)區(qū)過多時，文件形式的存儲，操作速度變慢，磁盤的讀寫開銷很大 重寫session入數(shù)據(jù)庫： 共6個函數(shù)

Session_set_save_handler(開始函數(shù)，結(jié)束函數(shù)，讀函數(shù)，寫函數(shù)，刪除函數(shù)，GC函數(shù));告知session機制，在需要讀寫時，使用用戶自定義的讀寫函數(shù)完成！這個函數(shù)僅僅是設(shè)置告知，不是調(diào)用，以上6個函數(shù)，在session機制運行到某個時間點時，才會被調(diào)用！

垃圾回收操作： sessGC()垃圾：服務(wù)器上過時的session數(shù)據(jù)區(qū)。垃圾如何判定？

如果一個session數(shù)據(jù)區(qū)已經(jīng)超過多久沒有使用（最后一次寫操作）了，就是被視為垃圾數(shù)據(jù)。

該時間臨界點：默認1440s?？梢员慌渲茫簊ession.gc_maxlifetime = 1440 判斷過期條件：Last_write < 當前時間-1440 垃圾如何刪除？

在 session_start()過程中，開啟session機制過程中：有幾率地執(zhí)行 垃圾回收操作。一旦執(zhí)行，就會刪除所有的過期的垃圾數(shù)據(jù)區(qū)。默認的概率為1/1000?？梢栽O(shè)置該幾率：

可能性：Session.gc_probability 基數(shù)（除數(shù)）：Session.gc_divisor 建議在腳本周期調(diào)整，使用函數(shù)ini_set(),在開啟session機制前完成

實現(xiàn) sessGC()：PHP的session機制將 最大有效期作為參數(shù)，傳遞過來！語法細節(jié)：

要注意先設(shè)置再開啟session機制

PHP配置項：session.save_handler改為 user： 表示用戶自定義！

會話技術(shù)總結(jié)：

Session.save_handler 存儲處理器： files|user Session.save_path 存儲地址。Session.cookie_XXX（lifetime，path，domain，secure，httponly）存儲session-ID這個COOKIE變量的屬性

Session.gc_maxlifetime Session.gc_probability Session.gc_divisor

Session，COOKIE聯(lián)系和區(qū)別？

聯(lián)系

都是會話技術(shù)。

Session基于COOKIE，session-ID存儲于COOKIE中！

區(qū)別：

Cookie

session 存儲位置

瀏覽器端

服務(wù)器端 安全性

低

高 大小限制

有

沒有 數(shù)據(jù)類型

字符串

除資源外的其它全部 有效期使用

長時間存

幾乎不做持久化

Session如何持久化？[理論]

1、Session-ID要持久化：

2、session_set_cookie_params(3600);服務(wù)器session數(shù)據(jù)區(qū)有效期修改：ini_set(‘session.gc_maxlifetime’, 3600);瀏覽器禁用COOKIE，session是否可用？[理論] COOKIE被禁用，session-Id不能存儲和傳輸。不可用！

理論上的解決方案：

通過 URL，或者 POST數(shù)據(jù)數(shù)據(jù)向服務(wù)器端，每次傳輸session-ID！例如下面的配置：php.ini Session是否僅僅是用COOKIE完成傳輸session-ID：

session.use_only_cookie = 1 開啟（在session_start之前）是否通過其他方式自動傳輸session-ID： session.use_trans_sid = 0 開啟

然后通過表單的隱藏域向服務(wù)器端，每次傳輸session-ID！即可

session和cookie的額外的一些理解：

1.由于HTTP協(xié)議是無狀態(tài)的協(xié)議，所以服務(wù)端需要記錄用戶的狀態(tài)時，就需要用某種機制來識具體的用戶，這個機制就是Session.典型的場景比如購物車，當你點擊下單按鈕時，由于HTTP協(xié)議無狀態(tài)，所以并不知道是哪個用戶操作的，所以服務(wù)端要為特定的用戶創(chuàng)建了特定的Session，用用于標識這個用戶，并且跟蹤用戶，這樣才知道購物車里面有幾本書。這個Session是保存在服務(wù)端的，有一個唯一標識。在服務(wù)端保存Session的方法很多，內(nèi)存、數(shù)據(jù)庫、文件都有。集群的時候也要考慮Session的轉(zhuǎn)移，在大型的網(wǎng)站，一般會有專門的Session服務(wù)器集群，用來保存用戶會話，這個時候 Session 信息都是放在內(nèi)存的，使用一些緩存服務(wù)比如Memcached之類的來放 Session。

2.思考一下服務(wù)端如何識別特定的客戶？這個時候Cookie就登場了。每次HTTP請求的時候，客戶端都會發(fā)送相應(yīng)的Cookie信息到服務(wù)端。實際上大多數(shù)的應(yīng)用都是用 Cookie 來實現(xiàn)Session跟蹤的，第一次創(chuàng)建Session的時候，服務(wù)端會在HTTP協(xié)議中告訴客戶端，需要在 Cookie 里面記錄一個Session ID，以后每次請求把這個會話ID發(fā)送到服務(wù)器，我就知道你是誰了。有人問，如果客戶端的瀏覽器禁用了 Cookie 怎么辦？一般這種情況下，會使用一種叫做URL重寫的技術(shù)來進行會話跟蹤，即每次HTTP交互，URL后面都會被附加上一個諸如 sid=xxxxx 這樣的參數(shù)，服務(wù)端據(jù)此來識別用戶。3.Cookie其實還可以用在一些方便用戶的場景下，設(shè)想你某次登陸過一個網(wǎng)站，下次登錄的時候不想再次輸入賬號了，怎么辦？這個信息可以寫到Cookie里面，訪問網(wǎng)站的時候，網(wǎng)站頁面的腳本可以讀取這個信息，就自動幫你把用戶名給填了，能夠方便一下用戶。這也是Cookie名稱的由來，給用戶的一點甜頭。所以，總結(jié)一下：

Session是在服務(wù)端保存的一個數(shù)據(jù)結(jié)構(gòu)，用來跟蹤用戶的狀態(tài)，這個數(shù)據(jù)可以保存在集群、數(shù)據(jù)庫、文件中；

Cookie是客戶端保存用戶信息的一種機制，用來記錄用戶的一些信息，也是實現(xiàn)Session的一種方式。

第二篇：asp中設(shè)置session過期時間方法總結(jié)

asp中默認session過期時間為20分鐘，很多情況下不夠，今天有客戶要求很多就要重新登錄了，所以準備了這篇文章，方便需要的朋友。

如果程序中沒有設(shè)置session的過期時間，那么session過期時間就會按照IIS設(shè)置的過期時間來執(zhí)行，IIS中session默認過期時間為20分鐘，IIS中session時間可以更改

時間設(shè)置要放在前面

例如

Session.Timeout=30 'SEESION有效時間為30分鐘

Session(“ID”)=Rs(“id”)Session(“Name”)=Rs(“Name”)Session(“Pass”)=Rs(“Pass” 利用 Session.Timeout 屬性設(shè)置超時時限

對于一個登錄到 ASP 應(yīng)用程序的用戶，如果用戶在系統(tǒng)默認的時間內(nèi)未進行其它任何操作，當設(shè)置的時間一到便自動撤銷這個用戶的 Session，這樣就可以防止系統(tǒng)的資源被浪費。Session 對象的 TimeOut 屬性可以用來設(shè)置“過期時間”，已分鐘為單位，其設(shè)置格式為： 代碼如下: Session.TimeOut=MaxTime 實例代碼：（5.asp)頁面，本實例說明如何控制會話的結(jié)束。代碼如下:

<%@ language=“vbscript” %> <% session.timeout=60 %>

<%

who = Session.SessionID

CurrentPage=Request.ServerVariables(“SCRIPT_NAME”)Response.AppendTolog who & “:” & CurrentPage

Response.write “