首页 » PHP笔记 » php禁用cookie后session还可以使用吗

php禁用cookie后session还可以使用吗

高蒙 2016/03/30 09:30 2.2k浏览 0评论 PHP


 用php开发的小伙伴们,有时候会有这样的疑惑,就是我把cookie给禁用了那么session还可以使用吗。那么这里简单的说明下,个人说法,仅供参考。

一、什么是cookie和session?两者有什么关系?

Cookie与 Session,一般认为是两个独立的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。

Cookie分为两种,一种可以叫做session cookie,浏览器关闭就会丢失,一种可以叫做persistent cookie,就是我们通常意义上所说的cookie,通常服务器端的session是借助于seesion cookie来和客户端交互的。

二、为什么禁用Cookie就不能得到Session呢?

因为Session是用Session ID来确定当前对话所对应的服务器Session,而Session ID是通过Cookie来传递的,禁用Cookie相当于失去了Session ID,也就得不到Session了。

三、php禁用cookie真的不能使用session了吗?

PHP中的session在默认情况下是使用客户端的Cookie来保存session id的,所以当客户端的cookie出现问题的时候就会影响session了。

必须注意的是:session不一定必须依赖cookie,这也是 session相比cookie的高明之处。

当客户端的Cookie被禁用或出现问题时,PHP会自动把session id附着在URL中,这样再通过session id就能跨页使用session变量了。

但这种附着也是有一定条件的,即“php.ini中的session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项”。

最后说明:

php.ini 中 SESSION 的配置

session.use_only_cookies = 1; // 开启仅使用cookies存放会话id

session.use_trans_sid = 1;     // 允许SessionID通过URL明文传输

在这种情况下虽然已经允许了SessionID通过URL明文传输,但是同时又开启了仅使用cookies存放会话SessionID,所以在URL中明文传输的PHPSESSIONID参数值是无效的,SESSION不能用。

php.ini 中 SESSION 的配置

session.use_trans_sid = 0;    // 禁止SessionID通过URL方式明文传输SESSION,不能用,这是最这安全的做法,也是php.ini 的默认配置。

或许大家都明白了吧,在php.ini的默认设置中,是关闭通过URL传输的,安全性低。所以,在日常的使用中最好还是session配合cookie使用。




相关文章

我有话说

站长昵称:(*)

输入内容:

选个头像:

评论列表

    ...

    高蒙

    男, PHP程序猿

    文章

    487

    标签

    42

    热度

    10w+

    南京, 江苏, 中国

    人生要是没有理想, 那跟咸鱼有什么分别。