Que sont les cookies et les sessions, et comment ils se rapportent les uns aux autres?

Je suis en train d'essayer de comprendre les cookies et les sessions de façon professionnelle.
Je sais que lorsqu'un navigateur se connecte à un serveur, le serveur "se demande" le navigateur "coller" un cookie avec "phpsessid" dans le navigateur client dossier cookies.

Maintenant que nous avons la "phpsessid", si le client entre dans le serveur, le navigateur envoie au serveur le "phpsessid" et le serveur prend un regard sur le dossier tmp et si nous avons un match de chargement arrière toutes les données de l'utilisateur a pour ce client, mais je suis un peu confus avec le processus.

Je serai reconnaissant si quelqu'un peut m'aider à comprendre ces processus de création d'une session et cookies - ce qui se passe derrière les coulisses.

  • Il semble que vous savez déjà ce qui se passe. Qui partie spécifique aimeriez-vous être informé? Le HTTP/cookie partie, ou comment PHP charges de la session magasin?
  • Le cookie que le navigateur est l'enregistrement avec le phpsessid, est-ce le phpsessid à identifier le client pour la création de sessions et les cookies?
  • Le cookie sur le navigateur contient le php id de session, qui indique au serveur "hé, je sais que ce chap", le serveur puis saisit les données de la session (à partir de /tmp/ par exemple) et restaure l'utilisateur $_SESSION
  • Oui, je sais, mais je me demande, est-ce "phpsessid" est à l'aide d'identifier le client avant la création de sessions et les cookies, est-ce phpsessid est, y compris à l'intérieur du cookie de données et l'ordinateur client et à l'intérieur du fichier de session sur le serveur dossier tmp?
InformationsquelleAutor Blanktext | 2012-06-21
  1. 133

    Voyons ceci:

    Les Cookies et des séances de sont les deux moyens de préserver l'application de l'état entre les différentes demandes du navigateur. C'est grâce à eux que, par exemple, vous n'avez pas besoin de vous connecter chaque fois que vous demandez une page sur StackOverflow.

    Cookies

    Les Cookies sont de petits morceaux de données (maximum de 4 KO de long), qui contiennent des données dans une clé=valeur de paires:

    name=value; name2=value2

    Ces sont définis par JavaScript, ou via le serveur à l'aide d'un L'en-tête HTTP.

    Les Cookies ont une date d'expiration datetime ensemble, par exemple en utilisant les en-têtes HTTP:

    Set-Cookie: name2=value2; Expires=Wed, 19 Jun 2021 10:18:14 GMT

    Qui serait la cause de la navigateur pour définir un cookie nommé name2 avec une valeur de value2, qui expire dans 9 ans.

    Cookies sont considérés comme de grande insécurité, car l'utilisateur peut facilement manipuler leur contenu. C'est pourquoi vous devez toujours valider les données de cookie. Ne pas assumer ce que vous obtenez à partir d'un cookie est nécessairement ce que vous attendez.

    Les Cookies sont généralement utilisés pour préserver l'état de connexion, où un nom d'utilisateur et un spécial de hachage sont envoyés à partir du navigateur et le serveur vérifie sur la base de données à approuver l'accès.

    Les Cookies sont également souvent utilisés dans sessions création.

    Sessions

    Séances sont légèrement différentes. Chaque utilisateur obtient un ID de session, qui est envoyé vers le serveur de validation, soit par cookie ou par OBTENIR variable.

    Séances sont habituellement de courte durée, ce qui les rend idéales dans l'économie d'état temporaire entre les applications. Les Sessions expirent également une fois que l'utilisateur ferme le navigateur.

    Séances sont considérés comme plus sûrs que les cookies car les variables sont eux-mêmes conservés sur le serveur. Voici comment cela fonctionne:

    1. Serveur ouvre une session (définit un cookie via l'en-tête HTTP)
    2. Serveur définit une variable de session.
    3. Client modifie la page
    4. Client envoie tous les cookies, ainsi que l'ID de session à partir de l'étape 1.
    5. Serveur lit l'ID de session à partir du cookie.
    6. Serveur correspond à l'ID de session à partir d'une liste dans une base de données (ou de la mémoire, etc).
    7. Serveur trouve une correspondance, lit les variables qui sont maintenant disponibles sur $_SESSION superglobale.

    Si PHP ne trouve pas de correspondance, il va commencer une nouvelle session, et répétez les étapes de 1 à 7.

    Vous pouvez stocker des informations sensibles sur une session, car il est conservé sur le serveur, mais sachez que l'ID de session peuvent être volés si l'utilisateur, disons, enregistré dans plus d'une insécurité WiFi. (Un attaquant peut renifler les cookies, et le définir comme son propre, il ne verra pas les variables elles-mêmes, mais le serveur va identifier l'attaquant utilisateur).

    C'est l'essentiel. Vous pouvez en apprendre plus sur le manuel PHP sur ces deux sujets.

    • Merci beaucoup je suis en train de lire.
    • C'est un travail très complet et de réponse claire. Je vous remercie.
    • Donc, est-ce à dire, les cookies doivent sous tension pour des séances de travail?
    • Dans la majorité des cas, oui. Toutefois, vous pouvez le configurer de sorte que l'Id de session sont transmises via GET variable (ce qui voudrait dire que le session_id devra être annexée à chaque page (hello.php?sid=cbe709ac7bed98f7ecb89713)
    • Ce que cela signifie exactement fermez le navigateur sur Android ou iPhone? arrêter l'application? éteignez l'appareil? pour fermer tous les onglets et la sortie? etc
    • Basée sur l'architecture de la mémoire sur ces appareils, je serais pari arrêter application devrait faire l'affaire.
    • Bonne explication. une fois que l'utilisateur a fermé ses parcourir, je me demandais simplement pourquoi elle??
    • "Les Sessions expirent également une fois que l'utilisateur a fermé son navigateur ", ne nous fera nous reconnecter à chaque fois?
    • Il serait, si ce n'était pas pour "se souvenir de moi" cookies", qui persistent plus longtemps.
    • montre l'égalité des sexes, étant juste, au lieu de l'aide de lui tout le temps.

    InformationsquelleAutor Madara Uchiha