前提：

一、cookie机制

正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。而cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie，如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置，则把该cookie附在请求资源的HTTP请求头上发送给服务器。cookie的内容主要包括：名字，值，过期时间，路径和域。路径与域一起构成cookie的作用范围。若不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。若设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存里的cookie，不同的浏览器有不同的处理方式

 

二、session的机制

当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否已包含了一个session标识（称为session id），如果已包含则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来使用（检索不到，会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。保存这个session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于PHPSESSID。但cookie可以被人为的禁止，则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写，就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。比如：

     
     
           
      
     
 实际上这种技术可以简单的用对action应用URL重写来代替。

 

session与cookie的联系：session利用cookie来传递用户的session id号，存取对应的用户信息：

session的存储是和你服务器配置有关的，一般的配置是保存在文件中（也可以保存在数据库中），下面以session保存在文件中并且session id的通过cookie来传递 我的php.ini的配置文件：

[Session]; Handler used to store/retrieve data.session.save_handler = files; Argument passed to save_handler.  In the case of files, this is the path; where data files are stored. Note: Windows users have to change this; variable in order to use PHP's session functions.;; As of PHP 4.0.1, you can define the path as:;;     session.save_path = "N;/path";; where N is an integer.  Instead of storing all the session files in; /path, what this will do is use subdirectories N-levels deep, and; store the session data in those directories.  This is useful if you; or your OS have problems with lots of files in one directory, and is; a more efficient layout for servers that handle lots of sessions.;; NOTE 1: PHP will not create this directory structure automatically.;         You can use the script in the ext/session dir for that purpose.; NOTE 2: See the section on garbage collection below if you choose to;         use subdirectories for session storage;; The file storage module creates files using mode 600 by default.; You can change that by using;;     session.save_path = "N;MODE;/path";; where MODE is the octal representation of the mode. Note that this; does not overwrite the process's umask.session.save_path = "C:/session_tmp"; Whether to use cookies.session.use_cookies = 1   //如果使用cookie来保存session id的话，开启他;session.cookie_secure = ; This option enables administrators to make their users invulnerable to; attacks which involve passing session ids in URLs; defaults to 0.; session.use_only_cookies = 1; Name of the session (used as cookie name).session.name = PHPSESSID     //保存session id的cookie名字 ; Initialize session on request startup.session.auto_start = 0; Lifetime in seconds of cookie or, if 0, until browser is restarted.session.cookie_lifetime = 0; The path for which the cookie is valid.session.cookie_path = /; The domain for which the cookie is valid.session.cookie_domain =; Whether or not to add the httpOnly flag to the cookie, which makes it inaccessible to browser scripting languages such as JavaScript.session.cookie_httponly = ; Handler used to serialize data.  php is the standard serializer of PHP.session.serialize_handler = php

（一）准备： 建立两个文件：

a.php：（用于创建session） 
     查看

b.php：（用于输出session） 
     

 

清空保存session的目录，我的php.ini中配置的是在C:\session_tmp下，关闭浏览器，以清空要测试的域名www.hongxiang100.com下的cookie，如下图是保存session的目录，已为空：

 

（二）测试

当第一次访问 www.hongxiang100.com/a.php 时.

 

注意：从图中可以看出请求头中 Cookie一行没有加PHPSESSID这个变量，因为这个cookie是在创建session后，由服务器端创建的保存生成的session id的cookie。从响应头中可以看出 创建了 PHPSESSID （Set-Cookie）这时会在服务器端保存session的地方生（我的是c:\session_php)下生成一个文件，该文件以 sess_ + 对应生成的用于标示用户的session_id为文件名，如：

里面的内容是：

 

点击查看访问 www.hongxiang100.com/b.php，请求信息如下

 

注意：这时的请求头信息中，浏览器已为我们自动把该域下的cookie加了上去，可以看见存储session id的cookie ：PHPSESSID , 这也是通过cookie传递用户状态的关键

 

相应内容为：

如果这时如果我把 c:\session_php 下对应的seesion文件  sess_04bde770a5e1dc0b48026666d8c7e347  删除的话，按推论此时session应该丢失，再执行 b.php 时，则会重新生成新的session文件，这个文件里没有任何东西，试验如下，

删除sess_04bde770a5e1dc0b48026666d8c7e347 ，如图：

运行b.php,结果为：

请求头响应头为：

 

注意:这里请求头中仍然有PHPSESSID,因为我们没有关闭浏览器，对应的cookie仍然存在，这个cookie保留着上次生成的session_id号，用于和服务器端的C:\session_tmp下的 sess_04bde770a5e1dc0b48026666d8c7e347 做对应，b.php中的session_start()会判断PHPSESSID是否存在，如果存在，则以他的值为session_id号，重新生成对应的session文件 ，因为没有删除cookie，故生成的session文件和第一次生成的一样，仍然为：sess_04bde770a5e1dc0b48026666d8c7e347，如果删除了cookie，则session_start()会重新生成一个新的 session id, 并生成对应的session文件，并把这个新的 session id 保存在cookie名为PHPSESSID中返回，这时sess_04bde770a5e1dc0b48026666d8c7e347的文件为空， 因为b.php中并未存任何session变量。如下图：

 

当再次访问 www.hongxiang100.com/a.php 时，则会更改sess_04bde770a5e1dc0b48026666d8c7e347这个文件保存新的session值

 

 注意：session的原理基本上就是这, session在各个页面能保持状态主要是依赖于客户端的cookie---PHPSESSID(这个cookie名与php.ini中的session.name = PHPSESSID有关）保留了对

应用户的seesion_id号，从一个页面到另一个页面时，通过sesion_start()函数会自动判断是否有PHPSESSID 这个cookie，如果有的话，以他的值为session_id号，如果没有，生成新

的session_id号，该试验中，因为没有关闭浏览器，对应的PHPSSID第一次访问生成以后，一直没有变，如果要是中间关闭了浏览器，session_start会重新生成新的session文件，对应

PHPSESSID的值也就跟着变了。