具體來說cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在伺服器端保持狀態的方案。Cookie的優缺點:優點:極高的擴充套件性和可用性透過良好的程式設計,控制儲存在cookie中的session物件的大小。透過加密和安全傳輸技術(SSL),減少cookie被破解的可能性。只在cookie中存放不敏感資料,即使被盜也不會有重大損失。控制cookie的生命期,使之不會永遠有效。偷盜者很可能拿到一個過期的cookie。缺點:Cookie數量和長度的限制。每個domain最多隻能有20條cookie,每個cookie長度不能超過4KB,否則會被截掉。安全性問題。如果cookie被人攔截了,那人就可以取得所有的session資訊。即使加密也與事無補,因為攔截者並不需要知道cookie的意義,他只要原樣轉發cookie就可以達到目的了。有些狀態不可能儲存在客戶端。例如,為了防止重複提交表單,我們需要在伺服器端儲存一個計數器。如果我們把這個計數器儲存在客戶端,那麼它起不到任何作用。Session的優缺點:優點如果要在諸多Web頁間傳遞一個變數,那麼用Session變數要比透過QueryString傳遞變數可使問題簡化。要使WEb站點具有使用者化,可以考慮使用Session變數。你的站點的每位訪問者都有使用者化的經驗,基於此,隨著LDAP和諸如MSSiteServer等的使用,已不必再將所有使用者化過程置入Session變量了,而這個使用者化是取決於使用者喜好的。你可以在任何想要使用的時候直接使用session變數,而不必事先宣告它,這種方式接近於在VB中變數的使用。使用完畢後,也不必考慮將其釋放,因為它將自動釋放。缺點Session變數和cookies是同一型別的。如果某使用者將瀏覽器設定為不相容任何cookie,那麼該使用者就無法使用這個Session變數!當一個使用者訪問某頁面時,每個Session變數的執行環境便自動生成,這些Session變數可在使用者離開該頁面後仍保留20分鐘!(事實上,這些變數一直可保留至“timeout”。“timeout”的時間長短由Web伺服器管理員設定。一些站點上的變數僅維持了3分鐘,一些則為10分鐘,還有一些則保留至預設值20分鐘。)所以,如果在Session中置入了較大的物件(如ADOrecordsets,connections,等等),那就有麻煩了!隨著站點訪問量的增大,伺服器將會因此而無法正常執行!因為建立Session變數有很大的隨意性,可隨時呼叫,不需要開發者做精確地處理,所以,過度使用session變數將會導致程式碼不可讀而且不好維護。雖然“你可以在任何想要使用的時候直接使用session變數,而不必事先宣告它,這種方式接近於在VB中變數的使用。使用完畢後,也不必考慮將其釋放,因為它將自動釋放”。但是,“誰”想到那兒呢?變數的含義是什麼?這些都變得不很清晰。
具體來說cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在伺服器端保持狀態的方案。Cookie的優缺點:優點:極高的擴充套件性和可用性透過良好的程式設計,控制儲存在cookie中的session物件的大小。透過加密和安全傳輸技術(SSL),減少cookie被破解的可能性。只在cookie中存放不敏感資料,即使被盜也不會有重大損失。控制cookie的生命期,使之不會永遠有效。偷盜者很可能拿到一個過期的cookie。缺點:Cookie數量和長度的限制。每個domain最多隻能有20條cookie,每個cookie長度不能超過4KB,否則會被截掉。安全性問題。如果cookie被人攔截了,那人就可以取得所有的session資訊。即使加密也與事無補,因為攔截者並不需要知道cookie的意義,他只要原樣轉發cookie就可以達到目的了。有些狀態不可能儲存在客戶端。例如,為了防止重複提交表單,我們需要在伺服器端儲存一個計數器。如果我們把這個計數器儲存在客戶端,那麼它起不到任何作用。Session的優缺點:優點如果要在諸多Web頁間傳遞一個變數,那麼用Session變數要比透過QueryString傳遞變數可使問題簡化。要使WEb站點具有使用者化,可以考慮使用Session變數。你的站點的每位訪問者都有使用者化的經驗,基於此,隨著LDAP和諸如MSSiteServer等的使用,已不必再將所有使用者化過程置入Session變量了,而這個使用者化是取決於使用者喜好的。你可以在任何想要使用的時候直接使用session變數,而不必事先宣告它,這種方式接近於在VB中變數的使用。使用完畢後,也不必考慮將其釋放,因為它將自動釋放。缺點Session變數和cookies是同一型別的。如果某使用者將瀏覽器設定為不相容任何cookie,那麼該使用者就無法使用這個Session變數!當一個使用者訪問某頁面時,每個Session變數的執行環境便自動生成,這些Session變數可在使用者離開該頁面後仍保留20分鐘!(事實上,這些變數一直可保留至“timeout”。“timeout”的時間長短由Web伺服器管理員設定。一些站點上的變數僅維持了3分鐘,一些則為10分鐘,還有一些則保留至預設值20分鐘。)所以,如果在Session中置入了較大的物件(如ADOrecordsets,connections,等等),那就有麻煩了!隨著站點訪問量的增大,伺服器將會因此而無法正常執行!因為建立Session變數有很大的隨意性,可隨時呼叫,不需要開發者做精確地處理,所以,過度使用session變數將會導致程式碼不可讀而且不好維護。雖然“你可以在任何想要使用的時候直接使用session變數,而不必事先宣告它,這種方式接近於在VB中變數的使用。使用完畢後,也不必考慮將其釋放,因為它將自動釋放”。但是,“誰”想到那兒呢?變數的含義是什麼?這些都變得不很清晰。