同时在线万人以上,如何采用$_SESSION

chlinux

session并不完全倚赖于cookie，没有cookie一样独立使用，一些朋友在频繁使用session时，多是建立session server来处理，而不是用系统自带的文件存储的方式，当然我提到的也是一些大的网站，不过从没有同时在线10000这个级别。。。

lares

[quote]原帖由 "chlinux"]session并不完全倚赖于cookie，没有cookie一样独立使用，一些朋友在频繁使用session时，多是建立session server来处理，而不是用系统自带的文件存储的方式，当然我提到的也是一些大的网站，不过从没有同时在线10000?.........[/quote 发表：


一般访问有SESSION的页面是因为该页面有动态交互内容. 事实上如果一个用户关闭了COOKIE功能，那么说明他的用户习惯是根本不需要上有交互功能的站点，仅仅具备发布功能的页面就可以满足他的要求.

一般来说只要我们利用一些加密的手段处理好COOKIE的安全性就可以满足用户的要求,  不要去考虑用户支不支持COOKIE，那是扯淡.

你花费那么长时间去处理SESSION的鸡肋问题, 或者所有SESSION文件在一个目录里，或者只能单机，或者存放在数据库里，这些都是始终不如COOKIE可靠和方便的. 所以没几个程序员主观上愿意在前台用SESSION(除了新手, 或是用于流量不大的站点)

EasyChen

原帖由 "hitty" 发表：


cookie是可以伪造的....可以搜索相关的资料,后果很严重!

1 大型网站可以用cookie和session，
2 F5提供session粘滞功能，可以实现负载均衡和用户session分布式的透明化，这样N万人用session都没有什么问题，唯一的问题是，F5很贵……
3 cookie可以伪造，但是可以用自己的校验算法来检查cookie的真伪

hitty

10000在线的网站应该不算过份,个人对腾讯的做法比较感兴趣,不知他们如何更好地让SESSION在跨语言和跨平台的环境下使用!对于建立SESSION SERVER有什么技术难点吗？

lares

原帖由 "EasyChen" 发表：


1 大型网站可以用cookie和session，
2 F5提供session粘滞功能，可以实现负载均衡和用户session分布式的透明化，这样N万人用session都没有什么问题，唯一的问题是，F5很贵……
3 cookie可以伪造，但是可以用自己..........

F5?

寒一下!  我那个F5杯子的把掉了!

北京野狼

原帖由 "lares" 发表：


一般访问有SESSION的页面是因为该页面有动态交互内容. 事实上如果一个用户关闭了COOKIE功能，那么说明他的用户习惯是根本不需要上有交互功能的站点，仅仅具备发布功能的页面就可以满足他的要求.

一般来说只要..........

如果说cookie可以伪造，那伪造的cooke一样破坏SESSION。
大一些的网站一般采用单独的认证服务器，这与SESSION完全没关系，像163，人民网，用户每次login之后，用户信息记录在认证服务器的内存里面，认证服务器提供API供其他认证请求，像前一阵问的统一认证平台就是这么做的，但是存在单点故障问题。
另外一种方式就是完全的cookie,像sina的邮件
login之后写一个随即数在cookie.web界面的所有连接都有一个长长的sid=*****.这个长字符串是采用自己的加密算法里面包含随即数,两者验证合法才可以使用。或者说以随即数做密鞘去解密sid.这样是足够安全的
这都可以所谓的跨语言和跨平台。

lazylee

f5一般用户就不要考虑了，贵的要命，嘿嘿

lares

原帖由 "Yarco" 发表：
各位说了session和cookie.
我是一直用session的.当然我也没接触过什么大型站点.一直不敢用cookie的原因是:
1.我不知道cookie的保密性如何.(假如你非得自己搞个算法来实现加密解密,这同样不能保证安全,何况加密解密本身就得消耗时间)
2.cookie设置是带时间的.我无法确定我应该设置多少时间最合适.
3.cookie似乎能被禁用掉.假如我不考虑正常用户----假如我试图攻击那个站点,那么我就会使用禁用cookie的方法首先探知那个网站有哪些秘密的东西.
所以想知道各位大哥是如何解决这些问题的?

1. 保密性不仅由cookie决定, 单从cookie讲很容易伪造, 一般程序员也可以有一些简单的方法去进行安全检验, 这个不是问题!

2. cookie的时间的确是个问题, 因为根据客户端时间时间判断, 这个server不可把握, 所以有效的办法是, 要么就直接设置在内存中, 就是浏览器关闭就失效,  要么就设成最大! 永久有效, 你用工具查查msn or sina的cookie的时间期限..........

3. 禁用我觉得不用考虑! 有人禁用么? 介绍给我认识认识!

lares

原帖由 "北京野狼" 发表：


如果说cookie可以伪造，那伪造的cooke一样破坏SESSION。
大一些的网站一般采用单独的认证服务器，这与SESSION完全没关系，像163，人民网，用户每次login之后，用户信息记录在认证服务器的内存里面，认证服务器提供API供其他认证请求，像前一阵问的统一认证平台就是这么做的，但是存在单点故障问题。
另外一种方式就是完全的cookie,像sina的邮件
login之后写一个随即数在cookie.web界面的所有连接都有一个长长的sid=*****.这个长字符串是采用自己的加密算法里面包含随即数,两者验证合法才可以使用。或者说以随即数做密鞘去解密sid.这样是足够安全的
这都可以所谓的跨语言和跨平台。

不太明白, 伪造的cookie怎么破坏session, 你的意思是伪造一个SESSIONID么? 是把别人的SESSIONID截获了自己用? 有这个能力了不跟COOKIE一样么！也可以截获COOKIE自己用!