Что плохого в хранении сессии для поддержания состояния?

Question

Это действительно лучшее между файлами cookie и хранением сессии.Это не является более безопасным, но также лучше и легче поддерживать состояние текущего сеанса пользователя.Но я хотел бы услышать о плюсах и минусах использования хранения сессии или файлов cookie для поддержания состояния текущей сессии пользователя.

Answer 1

Это общепринятый ученый.Метод использования этого метода, по меньшей мере, совершенно запутанный, но он более безопасен, чем использование файлов cookie.Более избыточный аспект заключается в том, что файлы cookie и хранилище сеансов фактически генерируют файл cookie, который загружается на клиентскую сторону, и пользователь может увидеть, если он знает, как его найти.Единственное отличие состоит в том, что файл cookie, загружаемый вызовом session_start, заключается в том, что файл cookie является временным.

Answer 2

Я должен сказать, что сессия является самой лучшей в проходящем состоянии.Во-первых, он более безопасен, чем файлы cookie, поскольку они всегда могут внедрить вредоносный код в файлы cookie, которые подвергают риску наших клиентов.Во-вторых, никто больше не использует куки-файлы из-за негативной стигмы, поэтому они бесполезны для создания приложения с куки-файлами, поскольку пользователь просто отключит их.Для тех, кто говорит, что куки - это хорошо, это программисты, которые привыкли к ним и просто не хотят идти дальше.Код развивается, мы также должны.

Answer 3

На самом деле, нет, и вот почему: «это вопрос доверия».

Информация, которую сервер хранит «в'сеанс' 'предназначен для использования только сервером.Действительно, на стороне клиента должно быть предположительно, что он злонамеренный.

Единственное, что сервер может предположить получить от клиента, это "значение cookie", которое ничего не должно значить дляклиент, и не должны передавать ему вообще никакой информации.Но даже в этом случае сервер должен учитывать, что значение cookie может быть поддельным или украденным.

Следовательно, «хранилище сеансов на стороне клиента» полезно только для «целей на стороне клиента», а клиент полностьюответственность за это.Сервер никогда не должен полагаться на него - вообще.