Cookie與 Session,一般認為是兩個獨立的東西,Session采用的是在服務器端保持狀態的方案,而Cookie采用的是在客戶端保持狀態的方案。但為什么禁用Cookie就不能得到Session呢?因為Session是用Session ID來確定當前對話所對應的服務器Session,而Session ID是通過Cookie來傳遞的,禁用Cookie相當於失去了Session ID,也就得不到Session了。
是不是Cookie讓禁用了,Session就一定不能用了呢?答案是否定的,即使cookie禁用,session還可以借助於url來和客戶端交互。
在PHP中,通過相關的配置,可以讓Session不依賴Cookie而存在。這是因為:
Session,儲存於服務器端(默認以文件方式存儲Session),根據客戶端提供的Session ID來得到用戶的文件,取得變量的值,Session ID可以使用客戶端的Cookie或者Http1.1協議的Query_String(就是訪問的URL的“?”后面的部分)來傳送給服務器,然后服務器讀取Session的目錄。也就是說,Session ID是取得存儲在服務上的Session變量的身份證。當代碼session_start();運行的時候,就在服務器上產生了一個Session文件,隨之也產生了與之唯一對應的一個Session ID,定義Session變量以一定形式存儲在剛才產生的Session文件中。通過Session ID,可以取出定義的變量。跨頁后,為了使用Session,你必須又執行session_start();將又會產生一個Session文件,與之對應產生相應的Session ID,用這個session id是取不出前面提到的第一個Session文件中的變量的,因為這個Session ID不是打開它的“鑰匙”。如果在session_start();之前加代碼session_id($session id);將不產生新的Session文件,直接讀取與這個id對應的Session文件。
PHP中的Session在默認情況下是使用客戶端的Cookie來保存Session ID的,所以當客戶端的cookie出現問題的時候就會影響Session了。必須注意的是:Session不一定必須依賴Cookie,這也是Session相比Cookie的高明之處。當客戶端的Cookie被禁用或出現問題時,PHP會自動把Session ID附着在URL中,這樣再通過Session ID就能跨頁使用Session變量了。但這種附着也是有一定條件的,即“php.ini中的session.use_trans_sid = 1“,或者編譯時打開打開了“--enable-trans-sid”選項。
用過論壇的朋友都知道,在進入論壇的時候,往往會提示你檢查Cookie是否打開,這是因為大多數論壇都是基於Cookie的,論壇用它來保存用戶名、密碼等用戶信息,方便使用。而且很多朋友都認為Cookie不安全(其實不是這樣),往往禁用它。其實在PHP程序中,我們完全可以用Session來代替Cookie,它可以不依賴於客戶端是否開啟Cookie。
所以,我們可以拋開Cookie使用Session,即假定用戶關閉Cookie的情況下使用Session,其實現途徑有以下幾種:
1. 設置php.ini配置文件中的“session.use_trans_sid = 1”,或者編譯時打開打開了“--enable-trans-sid”選項,讓PHP自動跨頁傳遞Session ID。
2. 手動通過URL傳值、隱藏表單傳遞Session ID。
3. 用文件、數據庫等形式保存Session ID,在跨頁過程中手動調用。
//設置php.ini
session.use_trans_sid = 1
//設置session
session_id($session)
//讀取session
session_id()