对SESSION的争论好象一直没有停止过，不过幺麽能理解SESSION的人应该占90以上。
但还是讲讲，别嫌老~

有一些人赞成用SESSION，有一些人不赞成。但这个问题到底要怎么说。不妨听听我的看法

如果有错误请不要朝丢东西，金条和硬币除外。

有些人应该知道我是做江湖程序的，而江湖程序做看中的就是效率，但这里不谈设计，而

从一些比较实际的角度看SESSION。

首先要先说SESSION是干什么的，SESSION是可以存储针对与某一个用户的IE以及通过其当

前窗口打开的任何窗口具有针对性的用户信息存储机制。为什么要这样说。看下边

先研究SESSION是如何启动的，当打开IE以后浏览网站后会发出一个指令请求SESSIONID以

及对各个类型数据的下载许可，如图片，声音以及FLASH。
数据实际传输内容：IE到服务器
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.jh521.com
Connection: Keep-Alive
服务器会返回一个没有被使用的SESSIONID让IE使用，当时IE就对返回SESSIONID做存储

并同时返回相关页面的下载数据，如下:服务器到IE
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private
然后就是页面HTML代码

此时这个IE程序(不是客户机)的SESSIONID就为IBOMFONAOJFEEBHBPIENJFFC

而当IE在访问任何这个站点的ASP程序的时候，就会把IBOMFONAOJFEEBHBPIENJFFC发送

给服务器，服务器就会知道IBOMFONAOJFEEBHBPIENJFFC是表示你
而在服务器上设置SESSION("name")="name"
完全可以看成是
SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name"
或者
SESSION(SESSIONID)("name")="name"
这样，SESSION就区分开用户了。
而当服务器反馈这个ID的时候会看这个ID有没有被使用。如果有在换一个
反正不会让你重复，如果想模拟某人的SESSION的ID来进行欺骗是可以的。不过要获取到

对方IE传输信号，并且在保证当时这个SESSIONID没有被取消的情况下才可能实施。

不过要是我有那时间直接通过POST信号找他NAME和PASS了。我可不费这个劲

想必一些人明白了了SESSIONID到底是如何工作的

那么就在看看COOKIE,有人说SESSIONID就是COOKIE，按照技术上来讲他们不属于同类

但是属于一种工作模式，用户和服务器传输私有数据

当我设置COOKIE的时候，服务器会反馈给IE一个指令。IE通过这个网络指令生成COOKIE并

存放,在特定的时候会取得这个这个信息如在访问这个站点并且COOKID有效的时候。

那么为什么要用COOKIE而不用SESSION呢
看下区别

有效时间以及存储方式 传输内容
COOKIE 可设置并在本地保留 明码信息

SESSION 在IE不关闭并服务器不超时 只有SESSIONID

当如果想让用户下次登入网站不需要输入用户名或者密码的时候就只能用COOKIE,

因为他可以保留相当长的时间(在COOKIE记录被删除或者失效日期之前)

而SESSION就不可以，他不会保留太长时间，而且IE在关闭后就自动清除了SESSIONID记录

在下次登入的时候会请求新的SESSIONID

而服务器想通过用户个人变量校验用户的状态的时候，就不能用COOKIE

如果用设置用户权限是USER。而IE访问的时候就把USER的明码传输到服务器。

那么如果我通过一定手段，比如直接修改COOKIE记录，把USER修改成ADMIN呢~~

就麻烦了。

但存储用户名和密码或者网站的配色方案这样的信息，用COOKIE是最好的

好，有点累了，在说说这个东西
Request.ServerVariables("HTTP_REFERER")

我想有一些人通过这个Request.ServerVariables("HTTP_REFERER")
来进行一些关键性限制,特别是对付远程提交以及非法侵入。
那么我就要提醒下服务器取得的HTTP_REFERER信息完全是IE传输给服务器的，可以模拟
而且难度不大，用不到半个小时就可以用VB做出一个针对HTTP_REFERER入侵程序。
（可惜我原先那他没干正经事情，做WEB游戏挂机程序来的)

顺便把我找到的一个关于SESSION的资料也弄过来吧 COOKIE的我前面发过了

一个人在网站上一次活动的过程。

当一个访问者来到你的网站的时候一个Session就开始了，当他离开的时候Session就结束了。本质是来说，cookie是和浏览器有关系，而 Session变量就可以存一些资源变量在服务器上面。PHP4用文件存储Session变量，但理论上可以用数据库或共享内存来做这件事。

所有的页面都用PHP4的Session必须用Session_start()功能函数来告诉PHP4引擎来取有关的Session到内存中

。函数Session_start()可以在cookie域里或请求的参数中取得Session_id为了响应http请求。如果不能找到

SessionID就新建一个Session。

什么是Session变量？

Session变量是个有规律的全局变量，当一个Session变量被注册，用PHP4可以在所有的页面上得到Session

的值。用Session_register("variable_name")可以注册一个Session变量。在所有并发的的用Session就使用

Session_start()函数，变量的值将作为一个Session变量注册为Session。

我们能作什么？

通常有很多的方法来管理Session和Session变量，我将给你个例子。说你将建一个商业站点，象我这样的，

你可能想保持已经被承认的用户当前的名字，或有多少的新消息用户已经得到。为了不在从数据库里读取，你

有两个方法可以做：

1.1.你可以用三个cookie

。authenticated_user – 当前的用户名称

。num_messages – 他得到的信息的数量

。expire_time – 何时重新读取信息数量

2.2.用sessions和新建三个session变量

第一个方法安全性不好，一些人可以得到cookie进入他人的领域。

用sessions用户仅得到一个cookie，安全的多。

缺点

session给了你自由，过度的用session会影响脚本语言的使用。虽然PHP4的session有些限制，如你不能存对象在session里。

long getCreationTime()                         取得session产生的时间，单位是毫秒
       String getId()                                  取得session 的ID
       long getLastAccessedTime()                      取得用户最后通过这个session送出请求的时间
       long getMaxInactiveInterval()                    取得最大session不活动的时间，若超过这时间，session 将会失效
       void invalidate()                                取消session 对象，并将对象存放的内容完全抛弃
       boolean isNew()                                  判断session 是否为"新"的
       void setMaxInactiveInterval(int interval)        设定最大session不活动的时间，若超过这时间，session 将会失效