session和cookie的最深刻理解

韩冰

去先说session & D! a" d1 {' y

对SESSION的争论好象一直没有停止过，不过幺麽能理解SESSION的人应该占90以上。 4 p3 k* w9 V3 ^3 ?/ F但还是讲讲，别嫌老~ ) ^* D8 c$ G& D0 t( P" k: ^+ I

有一些人赞成用SESSION，有一些人不赞成。但这个问题到底要怎么说。不妨听听我的看法 3 Y9 E1 x3 `* O4 l1 A 6 a1 {7 |4 a+ `# z/ A: D

如果有错误请不要朝丢东西，金条和硬币除外。

有些人应该知道我是做江湖程序的，而江湖程序做看中的就是效率，但这里不谈设计，而 $ i) n# ]3 F: n4 L

从一些比较实际的角度看SESSION。

首先要先说SESSION是干什么的，SESSION是可以存储针对与某一个用户的IE以及通过其当 : N" d0 O( M \. t

前窗口打开的任何窗口具有针对性的用户信息存储机制。为什么要这样说。看下边 " Y6 O- h+ N+ y. |

先研究SESSION是如何启动的，当打开IE以后浏览网站后会发出一个指令请求SESSIONID以 8 ?. B" S1 S+ v- F

及对各个类型数据的下载许可，如图片，声音以及FLASH。 . v: V2 K# \# E. C' g) L: Z数据实际传输内容：IE到服务器 ( Z+ c' F9 w# u0 a/ WGET / HTTP/1.1 - t# F2 E! B7 `! s2 hAccept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* Accept-Language0: zh-cn Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) Host: www.jh521.com 4 k7 ]5 \8 B& I( i: ?" j. H" vConnection: Keep-Alive 5 s. l. n: L* g; T2 K服务器会返回一个没有被使用的SESSIONID让IE使用，当时IE就对返回SESSIONID做存储 / F; c5 R1 N0 s+ _7 X& K ! O2 _; N7 j, v9 G% v( N; X

并同时返回相关页面的下载数据，如下:服务器到IE / b+ K' j* W' sHTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Sun, 30 Nov 2003 16:41:51 GMT 0 }+ ^2 U, r& m4 y) v& v, jContent-Length: 21174..Content-Type: text/html 2 w$ t$ n) s, ]; F: V$ e( J$ QSet-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/ 9 b' D' i7 h" m) u7 o9 dCache-control: private 然后就是页面HTML代码 ( X% U$ {8 |7 h1 `

此时这个IE程序(不是客户机)的SESSIONID就为IBOMFONAOJFEEBHBPIENJFFC ) A- Z" s5 f0 v. h: \ % n% |( [1 b: m: \

而当IE在访问任何这个站点的ASP程序的时候，就会把IBOMFONAOJFEEBHBPIENJFFC发送

给服务器，服务器就会知道IBOMFONAOJFEEBHBPIENJFFC是表示你 ' X( e; C) g: H: Z4 d3 P, k. H5 l而在服务器上设置SESSION("name")="name" 2 D: B# M8 v3 e$ e2 K完全可以看成是 4 K0 J- X6 r; W$ z# D' }SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name" 或者 SESSION(SESSIONID)("name")="name" 6 H) A! G; F) F; l( g$ G' M这样，SESSION就区分开用户了。 3 u$ F3 ~; K. i, O- q而当服务器反馈这个ID的时候会看这个ID有没有被使用。如果有在换一个 - k6 g4 s( x& p! W1 ?$ @反正不会让你重复，如果想模拟某人的SESSION的ID来进行欺骗是可以的。不过要获取到

对方IE传输信号，并且在保证当时这个SESSIONID没有被取消的情况下才可能实施。 2 E, U# M% t h1 I- v, k

不过要是我有那时间直接通过POST信号找他NAME和PASS了。我可不费这个劲 # I+ ^5 q: s) |, c 4 A; K( x8 Y8 |* ]2 N6 d( F

想必一些人明白了了SESSIONID到底是如何工作的

那么就在看看COOKIE,有人说SESSIONID就是COOKIE，按照技术上来讲他们不属于同类 . l0 _- _7 t( ^4 D. |2 Q- Q; @/ D

但是属于一种工作模式，用户和服务器传输私有数据 : U* c$ x( j' l& i

当我设置COOKIE的时候，服务器会反馈给IE一个指令。IE通过这个网络指令生成COOKIE并

存放,在特定的时候会取得这个这个信息如在访问这个站点并且COOKID有效的时候。 ( [& ^5 k8 u& K* @. \

那么为什么要用COOKIE而不用SESSION呢 ' q" M4 r1 S! v; w7 V看下区别 . Y9 t8 u/ D( r; S

有效时间以及存储方式 传输内容 # Q9 v) ?; u: B& V: w! ]COOKIE 可设置并在本地保留 明码信息 ) \9 L1 J3 p: H( f, {* K1 a

SESSION 在IE不关闭并服务器不超时 只有SESSIONID

当如果想让用户下次登入网站不需要输入用户名或者密码的时候就只能用COOKIE,

因为他可以保留相当长的时间(在COOKIE记录被删除或者失效日期之前) ' k, ~% B* g2 ^; B5 K 1 W( q) E; v& i0 t

而SESSION就不可以，他不会保留太长时间，而且IE在关闭后就自动清除了SESSIONID记录

在下次登入的时候会请求新的SESSIONID

而服务器想通过用户个人变量校验用户的状态的时候，就不能用COOKIE 5 U4 y" U" C- ]# x

如果用设置用户权限是USER。而IE访问的时候就把USER的明码传输到服务器。 7 N$ Y7 Z, m) q: ?/ \1 \ # l$ h! o4 F ]3 C1 ^

那么如果我通过一定手段，比如直接修改COOKIE记录，把USER修改成ADMIN呢~~ * ~* v" I* Y9 c % i. x; S2 D* [, D! r5 h9 }- s

就麻烦了。 $ o9 _: m5 [* ]; y3 G $ s ~, n' _! e, |

但存储用户名和密码或者网站的配色方案这样的信息，用COOKIE是最好的 6 U, b8 S% @( L3 a3 f( Q; H# g

好，有点累了，在说说这个东西 Request.ServerVariables("HTTP_REFERER") 9 ]2 D6 n: b/ T* v$ A c0 U! H/ w8 s

我想有一些人通过这个Request.ServerVariables("HTTP_REFERER") : b8 A# a7 R0 f' _来进行一些关键性限制,特别是对付远程提交以及非法侵入。 那么我就要提醒下服务器取得的HTTP_REFERER信息完全是IE传输给服务器的，可以模拟 6 _7 t7 P7 A+ O6 r8 I" l4 H而且难度不大，用不到半个小时就可以用VB做出一个针对HTTP_REFERER入侵程序。 （可惜我原先那他没干正经事情，做WEB游戏挂机程序来的)