php开发面试题---禁用cookie之后，如何使用session

今天药忘吃喽~ 2021-11-05 01:48 399阅读 0赞

# php开发面试题---禁用cookie之后，如何使用session #

## 一、总结 ##

### 一句话总结： ###

##### 在每个url后面自动加上PHPSESSID的值即可，用户禁止cookie后，服务器仍会将sessionId以cookie的方式发送给浏览器 #####

### 1、用户禁止cookie后，服务器的sessionId还会发给用户么？ ###

##### 会：服务器仍会将sessionId以cookie的方式发送给浏览器，但是，浏览器不再保存这个cookie(即sessionId)了。 #####

### 2、如何设置才能在每个url后加上sessionId的值？ ###

##### 设置session.use\_trans\_sid = 1或者编译时打开打开了--enable-trans-sid选项 #####

这样他会在每个url后面自动加上PHPSESSID的值，然后正常使用session就可以了。

### 3、session的生命周期中特别注意的？ ###

##### 只要活动就不会过期：session是一个只要活动就不会过期的东西，只要开启cookie，每一次会话，session\_id都不会改变 #####

## 二、禁用cookie后如何使用session还有session\_id的使用 ##

参考或转自：禁用cookie后如何使用session还有session\_id的使用 - 方方土zekeny - 博客园  
https://www.cnblogs.com/zekeny/p/6708152.html

(1)如果用户禁止cookie，服务器仍会将sessionId以cookie的方式发送给浏览器，但是，浏览器不再保存这个cookie(即sessionId)了。  
  
  
  
    (2)如果想继续使用session，需要采取其他方式来实现sessionId的跟踪。  
  
        可以使用url重写来实现sessionId的跟踪。  
  
  
  
    (3)url重写  
  
        a,什么是URL重写  
  
            浏览器在访问服务器上的某个地址时，不能够直接写这个组件的地址，而应该使用服务器生成的这个地址。  
  
            比如，  
  
                <a href="some">someServlet</a> error  
  
                <a href-"<%=response.encodeURL("some")%>"></a>  
  
            encodeURL方法会在"some"后面添加sessionId。  
  
         b,如何进行url重写。  
  
                //encodeURL方法用在链接地址、表单提交地址。  
                response.encodeURL(String url);  
                  
                //encodeRedirectURL方法用于重定向地址。  
                response.encodeRedirectURL(String url);

## 三、用户禁止cookie后，如何继续使用session ##

参考或转自：用户禁止cookie后，如何继续使用session - 龙腾四海365的专栏 - CSDN博客  
https://blog.csdn.net/u011637069/article/details/49870497

说一下这2个的基本信息吧，2个统称为会话，session存在于服务器端，cookie存在于用户端。之前有人说过如果禁用了cookie那么session就使用不了了，可以说这是正确的，也可以说这是错误的。因为禁用了cookie，session\_id就不能保存，而服务器正是根据session\_id来判断用户的session，所以说这是正确的。经过测试，当我们禁用cookie时，刷新页面session\_id会改变，说明session\_id是用cookie保存的。  
  
解决cookie禁用然后引用session的方法。  
  
1.  
  
session.use\_cookies = 0  //设置客户端是否使用cookie来保存session值  该参数的值不影响上述机制的进行。  
  
但是为了验证该机制，这里把该参数设为0，排除cookie携带seesionid的可能  
  
session.use\_only\_cookies = 0  //是否只使用cookie来保存session值  该参数为1时，上述机制失效。  
  
设置session.use\_trans\_sid = 1或者编译时打开打开了--enable-trans-sid选项  
  
这样他会在每个url后面自动加上PHPSESSID的值，然后正常使用session就可以了。  
  
   
  
2.  
  
在url后面加上session\_id的值或者保存session\_id的值于数据库或redis中，然后在下一次要调用session前，运行session\_id（$session\_id），还有这条语句要在session\_start()前。  
  
目前我了解到的只有这两种方法可以解决。  
  
   
  
然后我再聊下session\_id吧，它是保存在cookie中，首先session是一个只要活动就不会过期的东西，只要开启cookie，每一次会话，session\_id都不会改变，我们可以根据session\_id来判断用户是否是正常登陆，防止用户伪造session。然后我们也要防止session被劫持，我们可以对session\_id进行再一次的加密，防止暴力破解，还有可以设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

转载于:https://www.cnblogs.com/Renyi-Fan/p/11012086.html