Cookie是一種在客戶端和服務器之間傳遞數據的機制。它是由服務器發送給客戶端的小型文本文件，保存在客戶端的瀏覽器中。每當瀏覽器向同一服務器發送請求時，它會自動將相關的Cookie信息包含在請求中，以便服務器可以使用這些信息來提供個性化的服務。

?

服務器發送Cookie：當服務器發送響應時，可以通過設置響應頭中的Set-Cookie字段來發送Cookie。Set-Cookie字段的值是一個包含Cookie屬性的字符串，例如：

Set-Cookie:?name=value;?Expires=Wed,?21?Oct?2022?07:28:00?GMT;?Path=/
瀏覽器存儲Cookie：一旦瀏覽器接收到帶有Set-Cookie字段的響應，它會將Cookie保存在本地。每個Cookie都與特定的域名相關聯，并且在指定的路徑下有效。

瀏覽器發送Cookie：當瀏覽器向服務器發送請求時，它會自動將與該域相關的所有Cookie包含在請求頭的Cookie字段中，例如：

Cookie:?name=value;?other_cookie=other_value
服務器使用Cookie：服務器在接收到請求后可以通過讀取請求頭的Cookie字段來獲取客戶端發送的Cookie數據，并使用它們進行個性化處理或提供特定的功能。

需要注意的是，Cookie具有一些屬性，如過期時間（Expires或Max-Age），路徑（Path）、域名（Domain）、安全屬性（Secure）等，用于控制Cookie的行為和訪問。此外，瀏覽器還可以為Cookie設置HttpOnly屬性，使得Cookie值無法被JavaScript腳本訪問，從而提高安全性。

?

每次向服務器發出請求時，本地瀏覽器確實會將cookie附帶在請求信息中?。這是因為cookie的工作機制決定了它們會在每次請求時被自動發送到服務器。

Cookie的工作流程和原理

1. ?生成Cookie?：當瀏覽器首次向服務器發出請求時，服務器會生成一個唯一的標識符（即cookie），并通過響應頭中的Set-Cookie字段發送給瀏覽器。這個cookie通常包含用戶信息，如登錄狀態、個性化設置等?1。
2. ?存儲Cookie?：瀏覽器收到Set-Cookie字段后，會將cookie存儲在本地。存儲方式可以是內存、硬盤或其他方式，具體取決于瀏覽器的實現?1。
3. ?發送Cookie?：當瀏覽器再次向服務器發送請求時，會自動在請求頭中添加一個Cookie字段，并將所有存儲在本地的cookie信息包含在內。這樣，服務器就能夠根據這些cookie來識別并獲取用戶的相關信息?1。

Cookie的分類和存儲方式

1. ?會話cookie?：這種cookie在瀏覽器關閉后即失效。它們通常用于保持用戶會話狀態，如登錄狀態。
2. ?持久化cookie?：這種cookie可以設置過期時間，在過期時間內即使瀏覽器關閉，cookie信息也會保存并可以在下次訪問時發送給服務器。過期后，cookie將不再發送?2。

瀏覽器對Cookie的控制

瀏覽器可以通過以下方式控制cookie的發送和接收：

• ?限制第三方cookie?：用戶可以選擇是否允許第三方cookie，這影響廣告跟蹤和其他跨域功能。
• ?啟用隱私模式?：在隱私模式下，瀏覽器不會保存任何cookie，從而保護用戶的隱私?

session_set_cookie_params() 函數不管刷不刷新頁面，都不會改變cookie的過期時間，

但setcookie() 函數頁面每刷新一次，cookie 的過期時間就會刷新一次。

需要使用session_set_cookie_params()函數來配置session的cookie參數，是因為session的底層實現是基于HTTP cookie機制的。

HTTP cookie是服務器通過響應頭設置在客戶端的一種鍵值對，用于在客戶端存儲數據。當客戶端向服務器發送請求時，瀏覽器會自動將cookie發送給服務器，以幫助服務器識別客戶端身份、存儲用戶的偏好設置、保持用戶的登錄狀態等。

在PHP中，session機制通過設置session ID的cookie來識別客戶端身份和存儲會話數據。而session_set_cookie_params()函數可以用來配置session ID的cookie參數，如過期時間、作用域、安全標志等。

底層原理是，當調用session_start()函數時，PHP會生成一個唯一的session ID，并將該ID存儲在cookie中。通過session_set_cookie_params()函數可以設置cookie的參數，然后通過setcookie()函數將cookie發送給瀏覽器，從而使瀏覽器在后續的請求中自動發送該cookie。

因此，通過設置session_set_cookie_params()函數可以控制session ID的cookie的過期時間、作用域、安全標志等，從而增強session的安全性和可控性。

Session儲存于服務器端（默認以文件方式存儲session），根據客戶端提供的session id來得到用戶的文件，取得變量的值，session id可以使用客戶端的Cookie或者Http1.1協議的Query_String（就是訪問的URL的“?”后面的部分）來傳送給服務器，然后服務器讀取Session的目錄……。也就是說，session id是取得存儲在服務上的session變量的身份證。當代碼session_start();運行的時候，就在服務器上產生了一個session文件，隨之也產生了與之唯一對應的一個session id，定義session變量以一定形式存儲在剛才產生的session文件中。通過session id，可以取出定義的變量。跨頁后，為了使用session，你必須又執行session_start();將又會產生一個session文件，與之對應產生相應的session id，用這個session id是取不出前面提到的第一個session文件中的變量的，因為這個session id不是打開它的“鑰匙”。如果在session_start();之前加代碼session_id($session id);將不產生新的session文件，直接讀取與這個id對應的session文件。 按照上面的思想，我只要把session_id存在在cookie中就可以正常使用session了以下是session_set_cookie_params的用法
void   session_set_cookie_params ( int lifetime [, string path [, string domain [, bool secure [, bool httponly]]]] )設置與這個session相關聯的session的細節

Session 是存儲在服務器端的，遠程用戶沒辦法修改 Session 文件的內容，因此我們可以單純存儲一個 $admin 變量來判斷是否登陸，首次驗證通過后設置 $admin 值為 true，以后判斷該值是否為 true，假如不是，轉入登陸界面，這樣就可以減少很多數據庫操作了。而且可以減少每次為了驗證 Cookie 而傳遞密碼的不安全性了（Session 驗證只需要傳遞一次，假如你沒有使用 SSL 安全協議的話）。即使密碼進行了 md5 加密，也是很容易被截獲的。

當然使用 Session 還有很多優點，比如控制容易，可以按照用戶自定義存儲等（存儲于數據庫）。我這里就不多說了。

Session 在 php.ini 是否需要設置呢？一般不需要的，因為并不是每個人都有修改 php.ini 的權限，默認 Session 的存放路徑是服務器的系統臨時文件夾，我們可以自定義存放在自己的文件夾里，這個稍后我會介紹。

<?php
//  表單提交后...
$posts = $_POST;
//  清除一些空白符號
foreach ($posts as $key => $value) {$posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts["username"]; $query = "SELECT `username` FROM `user` WHERE `password` = '$password' AND `username` = '$username'";
//  取得查詢結果
$userInfo = $DB->getRow($query); if (!empty($userInfo)) {//  當驗證通過后，啟動 Sessionsession_start();//  注冊登陸成功的 admin 變量，并賦值 true$_SESSION["admin"] = true;
} else {die("用戶名密碼錯誤");
}
?>

<?php
//  防止全局變量造成安全隱患
$admin = false;
//  啟動會話，這步必不可少
session_start();
//  判斷是否登陸
if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) {echo "您已經成功登陸";
} else {//  驗證失敗，將 $_SESSION["admin"] 置為 false$_SESSION["admin"] = false;die("您無權訪問");
}
?>

<?php
session_start();
//  這種方法是將原來注冊的某個變量銷毀
unset($_SESSION['admin']);
//  這種方法是銷毀整個 Session 文件
session_destroy();
?>

Session 是如何來判斷客戶端用戶的呢？它是通過 Session ID 來判斷的，什么是 Session ID，就是那個 Session 文件的文件名，Session ID 是隨機生成的，因此能保證唯一性和隨機性，確保 Session 的安全。一般如果沒有設置 Session 的生存周期，則 Session ID 存儲在內存中，關閉瀏覽器后該 ID 自動注銷，重新請求該頁面后，重新注冊一個 Session ID。

如果客戶端沒有禁用 Cookie，則 Cookie 在啟動 Session 會話的時候扮演的是存儲 Session ID 和 Session 生存期的角色。