cookie 每次請求頁面的時(shí)候進(jìn)行驗(yàn)證，如果用戶信息存儲(chǔ)在數(shù)據(jù)庫中，每次都要執(zhí)行一次數(shù)據(jù)庫查詢，給數(shù)據(jù)庫造成多余的負(fù)擔(dān)。cookie可以被修改的，所以安全系數(shù)太低。

session是存儲(chǔ)在服務(wù)器端面的會(huì)話，相對安全，并且不像Cookie那樣有存儲(chǔ)長度限制。由于Session是以文本文件形式存儲(chǔ)在服務(wù)器端的，所以不怕客戶端修改
Session內(nèi)容。實(shí)際上在服務(wù)器端的Session文件，PHP自動(dòng)修改session文件的權(quán)限，只保留了系統(tǒng)讀和寫權(quán)限，而且不能通過ftp修改，所以安全得多。

對于 Cookie 來說，假設(shè)我們要驗(yàn)證用戶是否登陸，就必須在 Cookie 中保存用戶名和密碼(可能是 md5 加密后字符串)，并在每次請求頁面的時(shí)候進(jìn)行驗(yàn)證。
如果用戶名和密碼存儲(chǔ)在數(shù)據(jù)庫，每次都要執(zhí)行一次數(shù)據(jù)庫查詢，給數(shù)據(jù)庫造成多余的負(fù)擔(dān)。因?yàn)槲覀儾⒉荒?只做一次驗(yàn)證。為什么呢？
因?yàn)榭蛻舳?Cookie 中的信息是有可能被修改的。假如你存儲(chǔ) $admin 變量來表示用戶是否登陸，$admin 為 true 的時(shí)候表示登陸，
為 false 的時(shí)候表示未登錄，在第一次通過驗(yàn)證后將 $admin 等于 true 存儲(chǔ)在 Cookie，下次就不用驗(yàn)證了，這樣對么？錯(cuò)了，
假如有人偽造一個(gè)值為 true 的 $admin 變量那不是就立即取的了管理權(quán)限么？非常的不安全。

而 Session 就不同了，Session 是存儲(chǔ)在服務(wù)器端的，遠(yuǎn)程用戶沒辦法修改 Session 文件的內(nèi)容，因此我們可以單純存儲(chǔ)一個(gè) $admin 變量來判斷是否登陸，
首次驗(yàn)證通過后設(shè)置 $admin 值為 true，以后判斷該值是否為 true，假如不是，轉(zhuǎn)入登陸界面，這樣就可以減少很多數(shù)據(jù)庫操作了。
而且可以減少每次為了驗(yàn)證 Cookie 而傳遞密碼的不安全性了（Session 驗(yàn)證只需要傳遞一次，假如你沒有使用 SSL 安全協(xié)議的話）。
即使密碼進(jìn)行了 md5 加密，也是很容易被截獲的。

session 會(huì)話會(huì)為每一個(gè)開啟了 session 會(huì)話的訪問者建立一個(gè)唯一的會(huì)話 ID ，用于識(shí)別用戶。該會(huì)話 ID 可能存儲(chǔ)于用戶電腦的 cookie 內(nèi)，
也可能通過 URL 來傳遞。而對應(yīng)的具體 session 值會(huì)存儲(chǔ)于服務(wù)器端，這也是與 cookie 的主要區(qū)別，并且安全性相對較高。

創(chuàng)建 session

要?jiǎng)?chuàng)建 session 或返回已經(jīng)存在的會(huì)話 ，就必須先使用 session_start() 函數(shù)開啟一個(gè) session 會(huì)話，系統(tǒng)會(huì)分配一個(gè)會(huì)話 ID：

<?php
session_start();//此函數(shù)沒有參數(shù)，且返回值均為true。最好將這個(gè)函數(shù)置于最先，而且在它之前不能有任何輸出，否則會(huì)報(bào)警
?>

注冊session變量

使用 session_register() 函數(shù)注冊一個(gè) session 變量，成功返回 TRUE ，否則返回 FALSE 。

語法：bool session_register( mixed name [, mixed ...] )

使用 session_register() 函數(shù)可以在目前會(huì)話下注冊一個(gè)或多個(gè)全局 session 變量。 參數(shù)name就是想要加入的變量名，成功則返回邏輯值true。可以用$_SESSION[name]或$HTTP_SESSION_VARS[name]的形式來取值或賦值。

例子：
<?php
session_start();
$username = "nostop";
session_register("username");
?>

在該例子中，我們向 session 注冊了一個(gè)名為 username 的變量，其值為 nostop 。

讀取 session

PHP 內(nèi)置的 $_SESSION 變量可以很方便的訪問設(shè)置的 session 變量。

例子：
<?php
session_start();
echo "登記的用戶名為：".$_SESSION["username"];? ? ? ?//輸出 登記的用戶名為：nostop
?>

銷毀 session

session_unregister()? ?注銷單個(gè) session 變量
unset($_SESSION['age']); 用于注銷以$_SESSION['age']注冊的session變量
session_unset()? ?刪除所有已注冊的變量
session_destroy() 注銷所有的session變量，并注銷整個(gè) session 會(huì)話

例子：
<?php
session_start();
session_unregister("username");? ? ? ?//注銷 session 某個(gè)變量
session_unset();? ? ? ? ? ? ? ? ? ?//注銷 session 會(huì)話
?>


檢查變量是否被登記為會(huì)話變量

session_is_registered

語法：boobean session_is_registered(string name);

這個(gè)函數(shù)可檢查當(dāng)前的session之中是否已有指定的變量注冊，參數(shù)name就是要檢查的變量名。成功則返回邏輯值true。

例子：
<?php
? ? ?? session_start();
? ? ?? if(!session_is_registered("gender")){ //判斷當(dāng)前會(huì)話變量是否注冊
? ? ?? ? ? ?? session_register("gender");? ? ?? //注冊變量
? ? ?? }
? ? ?? $gender="女";
? ? ?? echo $_SESSION['gender'];? ?//女
?>


存取當(dāng)前會(huì)話名稱

session_name

語法：boolean session_name(string [name]);

這個(gè)函數(shù)可取得或重新設(shè)置當(dāng)前session的名稱。若無參數(shù)name則表示獲取當(dāng)前session名稱，加上參數(shù)則表示將session名稱設(shè)為參數(shù)name。

例子：
<?php

$sessionName = session_name();? ? ?//取得當(dāng)前 Session 名，默認(rèn)為 PHPSESSID
$sessionID = $_GET[$sessionName];? ? ?//取得 Session ID
session_id($sessionID);? ? ? ? ? ?//使用 session_id() 設(shè)置獲得的 Session ID
?>

存取當(dāng)前會(huì)話標(biāo)識(shí)號

session_id

語法：boolean session_id(string [id]);

這個(gè)函數(shù)可取得或重新設(shè)置當(dāng)前存放session的標(biāo)識(shí)號。若無參數(shù)id則表示只獲取當(dāng)前session的標(biāo)識(shí)號，加上參數(shù)則表示將session的標(biāo)識(shí)號設(shè)成新指定的id。

設(shè)置 Session 的生存期

setcookie:向客戶端發(fā)送一個(gè) HTTP cookie。
<?php
? ? ?? session_start
? ? ?? // 保存一天
? ? ?? $lifeTime = 24 * 3600;
? ? ?? setcookie(session_name(), session_id(), time() + $lifeTime, "/");
?>

session_set_cookie_params:設(shè)置 Session 的生存期的，該函數(shù)必須在 session_start() 函數(shù)調(diào)用之前調(diào)用。
如果客戶端使用 IE 6.0 ， session_set_cookie_params(); 函數(shù)設(shè)置 Cookie 會(huì)有些問題，所以我們還是手動(dòng)調(diào)用 setcookie 函數(shù)來創(chuàng)建 cookie。

// 保存一天
<?php
　　$lifeTime = 24 * 3600;
　　session_set_cookie_params($lifeTime);
　　session_start();
　　$_session["admin"] = true;
?>

設(shè)置 Session 文件的保存路徑

session_save_path() ：必須在 session_start() 函數(shù)調(diào)用之前調(diào)用。
<?php
　　// 設(shè)置一個(gè)存放目錄
　　$savePath = "./session_save_dir/";
　　// 保存一天
　　$lifeTime = 24 * 3600;
　　session_save_path($savePath);
　　session_set_cookie_params($lifeTime);
　　session_start();
　　$_session["admin"] = true;
?>

<?php
session_start();? ? ? ?//啟動(dòng)Session
$username='nostop';
session_register('username');? ? ? ?//注冊一個(gè)名為username變量
echo '登記的用戶：'.$_SESSION['username'];? ? ? ?//登記的用戶：nostop? ? ?讀取Session變量

$_SESSION['age']=23;? ? ? ?//聲明一個(gè)名為age的變量，并賦值
echo '年齡：'.$_SESSION['age']; //年齡：23

session_unregister('username'); //注銷Session變量
echo $_SESSION['username'];? ?//空
echo $_SESSION['age'];//23

unset($_SESSION['age']); //注銷Session變量
echo '登記的用戶：'.$_SESSION['username']; //空
echo '年齡：'.$_SESSION['age']; //空
?>

php中session和cookie