原帖由 "北京野狼" 发表:
是你完全不理解cookies的作用,seission没cookies不是一样没作用。
真正的大网站没有使用seission的。
seission完全是为了程序员写程序简单。
原帖由 "powerpolly" 发表:
session通常是在COOKIE中保存PHPSESSID。
问题是在线人数太多导致服务器的SESSION开销太大。所以应该用客户端的COOKIE来保存数据。而不应使用SESSION
原帖由 "tonera" 发表:
实在觉得没有争论的价值.
当PHP工人当久了,就知道什么时候用什么了.
比较赞同野狼的话,虽然在一些人眼里可能觉得他是一个说话偏激的人. :mrgreen:
原帖由 "tonera" 发表:
实在觉得没有争论的价值.
当PHP工人当久了,就知道什么时候用什么了.
比较赞同野狼的话,虽然在一些人眼里可能觉得他是一个说话偏激的人.
原帖由 "hitty" 发表:
cookie是可以伪造的....可以搜索相关的资料,后果很严重!
原帖由 "EasyChen" 发表:
1 大型网站可以用cookie和session,
2 F5提供session粘滞功能,可以实现负载均衡和用户session分布式的透明化,这样N万人用session都没有什么问题,唯一的问题是,F5很贵……
3 cookie可以伪造,但是可以用自己..........
原帖由 "lares" 发表:
一般访问有SESSION的页面是因为该页面有动态交互内容. 事实上如果一个用户关闭了COOKIE功能,那么说明他的用户习惯是根本不需要上有交互功能的站点,仅仅具备发布功能的页面就可以满足他的要求.
一般来说只要..........
原帖由 "Yarco" 发表:
各位说了session和cookie.
我是一直用session的.当然我也没接触过什么大型站点.一直不敢用cookie的原因是:
1.我不知道cookie的保密性如何.(假如你非得自己搞个算法来实现加密解密,这同样不能保证安全,何况加密解密本身就得消耗时间)
2.cookie设置是带时间的.我无法确定我应该设置多少时间最合适.
3.cookie似乎能被禁用掉.假如我不考虑正常用户----假如我试图攻击那个站点,那么我就会使用禁用cookie的方法首先探知那个网站有哪些秘密的东西.
所以想知道各位大哥是如何解决这些问题的?
原帖由 "北京野狼" 发表:
如果说cookie可以伪造,那伪造的cooke一样破坏SESSION。
大一些的网站一般采用单独的认证服务器,这与SESSION完全没关系,像163,人民网,用户每次login之后,用户信息记录在认证服务器的内存里面,认证服务器提供API供其他认证请求,像前一阵问的统一认证平台就是这么做的,但是存在单点故障问题。
另外一种方式就是完全的cookie,像sina的邮件
login之后写一个随即数在cookie.web界面的所有连接都有一个长长的sid=*****.这个长字符串是采用自己的加密算法里面包含随即数,两者验证合法才可以使用。或者说以随即数做密鞘去解密sid.这样是足够安全的
这都可以所谓的跨语言和跨平台。
原帖由 "lares" 发表:
不太明白, 伪造的cookie怎么破坏session, 你的意思是伪造一个SESSIONID么? 是把别人的SESSIONID截获了自己用? 有这个能力了不跟COOKIE一样么!也可以截获COOKIE自己用!
原帖由 "北京野狼" 发表:
如果不要SESSION单独使用cookie被认为不安全,cookie可以伪造骗取认证,那怎么能保证SESSION就安全。使用SESSION,服务器与用户交互一样是使用cookie来实现的。
说cookies不安全是没有意义的,除非SESSION也不..........
原帖由 "北京野狼" 发表:
是你完全不理解cookies的作用,seission没cookies不是一样没作用。
真正的大网站没有使用seission的。
seission完全是为了程序员写程序简单。
原帖由 "jzz_zh" 发表:
原理都一样
sina 163也不是神
大的网站基本上都用的是cookie
同时在线万人级别的东西..谁还敢拿session来存....
服务器早就crash了
原帖由 "spiceboy" 发表:
这么简单个问题争来争去。
用mysql内存表来存就行了啊。
一万来人,整个pc就能跑了。
这样session就能跨域。
你们用过myisam表没有呀?15分钟内1万人在线的负载,对于mysql数据表,即使不用内存表都没问题呀。..........
原帖由 "tonera" 发表:
内存表和cookie是我认同的两种方法.
原帖由 "hitty" 发表:
纯粹用COOKIE还是有很大的局限性,必须有种策略在COOKIE禁用,也能保持其它程序下能不断地间歇性连接来保持同步。
比如在WEB中加入隐藏的<iframe>;的值在后台定时刷新,服务端一但在某段时间内没有收到信息则?.........
原帖由 "北京野狼" 发表:
怎么使用内存表?
内存表不是一个好办法。实践中根本不可行。
原帖由 "北京野狼" 发表:
就以cu论坛来说。你在frame里面不停的刷新,那我只要打开论坛就永不过期了
你总见过页面不操作过半小时过期的事情吧。所有的web浏览方式都有。
不停的刷新你知道真的在线上万是多大的负载吗?
用COOKIE没有?.........
原帖由 "hitty" 发表:
理论上本身就是,只要页面在本机打开,就不能算过期!
之所以过期那也是SESSION没有办法的办法,也是C/s和B/s不同的一部分
.
原帖由 "hitty" 发表:
晕倒哦,太恶心了吧你
随便找个马甲就能替自己拍马屁
原帖由 "hitty" 发表:
理论上本身就是,只要页面在本机打开,就不能算过期!
原帖由 "lares" 发表:
懒得跟你这种小人说, 以后也懒得回你的帖.
原帖由 "reffo" 发表:
从上述话可以看出楼主基本没有实际开发经验,以后大家看到这种人说这种话,就mark一下:“此人开发经验不足”
然后大家可以不理他了..........
原帖由 "hitty" 发表:
晕倒哦,太恶心了吧你
随便找个马甲就能替自己拍马屁
欢迎光临 Chinaunix (http://bbs.chinaunix.net/) | Powered by Discuz! X3.2 |