对Session和Cookie的区分与理解 打印 E-mail
  2007-12-16
先说session

对SESSION的争论好象一直没有停止过,不过幺麽能理解SESSION的人应该占90以上。但还是讲讲,别嫌老~

有一些人赞成用SESSION,有一些人不赞成。但这个问题到底要怎么说。不妨听听我的看法,如果有错误请不要朝丢东西,金条和硬币除外。

有些人应该知道我是做江湖程序的,而江湖程序做看中的就是效率,但这里不谈设计,而从一些比较实际的角度看SESSION。

首先要先说SESSION是干什么的,SESSION是可以存储针对与某一个用户的IE以及通过其当前窗口打开的任何窗口具有针对性的用户信息存储机制。为什么要这样说。看下边先研究SESSION是如何启动的,当打开IE以后浏览网站后会发出一个指令请求SESSIONID以及对各个类型数据的下载许可,如图片,声音以及FLASH。
数据实际传输内容:IE到服务器
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.jh521.com
Connection: Keep-Alive
服务器会返回一个没有被使用的SESSIONID让IE使用,当时IE就对返回SESSIONID做存储

并同时返回相关页面的下载数据,如下:服务器到IE
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private
然后就是页面HTML代码此时这个IE程序(不是客户机)的SESSIONID就为IBOMFONAOJFEEBHBPIENJFFC而当IE在访问任何这个站点的ASP程序的时候,就会把IBOMFONAOJFEEBHBPIENJFFC发送给服务器,服务器就会知道IBOMFONAOJFEEBHBPIENJFFC是表示你而在服务器上设置SESSION("name")="name"完全可以看成是SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name"
或者
SESSION(SESSIONID)("name")="name"
这样,SESSION就区分开用户了。
而当服务器反馈这个ID的时候会看这个ID有没有被使用。如果有在换一个
反正不会让你重复,如果想模拟某人的SESSION的ID来进行欺骗是可以的。不过要获取到对方IE传输信号,并且在保证当时这个SESSIONID没有被取消的情况下才可能实施。

不过要是我有那时间直接通过POST信号找他NAME和PASS了。我可不费这个劲,想必一些人明白了了SESSIONID到底是如何工作的,那么就在看看COOKIE,有人说SESSIONID就是COOKIE,按照技术上来讲他们不属于同类,但是属于一种工作模式,用户和服务器传输私有数据.当我设置COOKIE的时候,服务器会反馈给IE一个指令。IE通过这个网络指令生成COOKIE并存放,在特定的时候会取得这个这个信息如在访问这个站点并且COOKID有效的时候。

那么为什么要用COOKIE而不用SESSION呢
看下区别

有效时间以及存储方式 传输内容
COOKIE 可设置并在本地保留 明码信息

SESSION 在IE不关闭并服务器不超时 只有SESSIONID

当如果想让用户下次登入网站不需要输入用户名或者密码的时候就只能用COOKIE,

因为他可以保留相当长的时间(在COOKIE记录被删除或者失效日期之前)

而SESSION就不可以,他不会保留太长时间,而且IE在关闭后就自动清除了SESSIONID记录

在下次登入的时候会请求新的SESSIONID

而服务器想通过用户个人变量校验用户的状态的时候,就不能用COOKIE

如果用设置用户权限是USER。而IE访问的时候就把USER的明码传输到服务器。

那么如果我通过一定手段,比如直接修改COOKIE记录,把USER修改成ADMIN呢~~

就麻烦了。

但存储用户名和密码或者网站的配色方案这样的信息,用COOKIE是最好的


好,有点累了,在说说这个东西
Request.ServerVariables("HTTP_REFERER")

我想有一些人通过这个Request.ServerVariables("HTTP_REFERER")
来进行一些关键性限制,特别是对付远程提交以及非法侵入。
那么我就要提醒下服务器取得的HTTP_REFERER信息完全是IE传输给服务器的,可以模拟
而且难度不大,用不到半个小时就可以用VB做出一个针对HTTP_REFERER入侵程序。
(可惜我原先那他没干正经事情,做WEB游戏挂机程序来的)
发表评论
网友评论
sd
作者 访客 于 2008-07-04 10:10:24
精油 
论文发表 
上海翻译公司 
上海翻译 
英语培训 
英语口语 
神经性皮炎 
皮炎 
湿疹 
荨麻疹 
慢性荨麻疹 
藏獒 
液压缸 
油缸 
破碎机 
北京旅游 
北京旅行社 
条码机 
条码打印机 
条形码打印机 
阴茎增大 
伟哥 
发酵罐 
肠炎 
结肠炎 
直肠炎 
慢性肠炎 
慢性结肠炎 
结肠炎的治疗 
溃疡性结肠炎 
慢性结肠炎的治疗 
大豆床上用品 
保健内衣 
羊绒内衣 
大豆纤维面料 
团购礼品 
移民 
热电偶插头 
测温线 
热电阻 
煤气发生炉 
两段式煤气发生炉 
环保节能型煤气发生炉 
硅碳棒 
吸塑机 
纸管机 
无缝管 
合金管 
无缝管 
无缝钢管 
高血压 
产品设计 
无纸记录仪 
红外测温仪 
无纸记录仪 
韩国服装 
韩版服装 
韩国服饰 
丝锥 
挤压丝锥 
非标丝锥 
梯形丝锥 
螺纹环规 
men spa beijing 
men massage beijing 
pearl jewelry 
Beijing Tour 
china Tour 
beijing Tour 
china Tour 
beijing Tour 
China Necklace Wholesale 
China Bracelet Wholesale 
China Ring wholesale 
China gemstone beads wholesale 
China Jewelry Accessories wholesale 
China Semiprecious beads wholesale 
replica handbag 
replica tiffany 
replica watches 
louis vuitton replica 
chanel replica 
gucci replica 
Chinese language 
Chinese learn 
learning Chinese 
learn mandarin 
ecosway 
gasifier 
coal gas 
coal gasification 
pro dj cases 
beijing tour 
beijing tours 
beijing travel 
beijing tours 
china tour 
beijing 
china tours 
china travel 
beijing china 
china beijing 
beijing hotel 
beijing hotels 
China Flights 
carved fireplace 
stone bathtub 
marble fountain 
marble bench 
marble fireplace 
marble sculpture 
marble columns 
marble lions 
marble doorway 
marble gazebo 
marble pillar 
marble fireplace surround 
marble statue 
marble bathtub

发表评论
用户访客
标题
BBCode:Web AddressEmail AddressBold TextItalic TextUnderlined TextQuoteCodeOpen ListList ItemClose List
评论
< 上一篇   下一篇 >
返回