01-cookie與session session其實指的就是訪問者從到達某個特定主頁到離開為止的那段時間。 Session其實是利用Cookie進行信息處理的，當用戶首先進行了請求后，服務端就在用戶瀏覽器上創建了一個Cookie，當這個Session結束時，其實就是意味著這個Cookie就過期了。 注：為這個用戶創建的Cookie的名稱是aspsessionid。這個Cookie的唯一目的就是為每一個用戶提供不同的身份認證。 服務器根據當前sessionid判斷相應的用戶數據標志，以確定用戶是否登錄或具有某種權限。由于數據是存儲在服務器上面，所以你不能偽造，但是如果你能夠獲取某個登錄用戶的 sessionid，用特殊的瀏覽器偽造該用戶的請求也是能夠成功的。sessionid是服務器和客戶端鏈接時候隨機分配的，一般來說是不會有重復，但如果有大量的并發請求，也不是沒有重復的可能性. 沒有設置有效時間cookie保存在瀏覽器端，關閉瀏覽器失效。設置有效期則保存在硬盤 如果有人入侵你的機器，將你的cookie拷走，然后放在他的瀏覽器的目錄下面，那么他登錄該網站的時候就是用你的身份登錄的。所以cookie是可以偽造的。當然，偽造的時候需要主意，直接copy? ? cookie文件到 cookie目錄，瀏覽器是不認的，他有一個index.dat文件，存儲了 cookie文件的建立時間，以及是否有修改，所以你必須先要有該網站的 cookie文件，并且要從保證時間上騙過瀏覽器 (1)cookie數據存放在客戶的瀏覽器上，session數據放在服務器上 (2)cookie不是很安全，別人可以分析存放在本地的COOKIE并進行COOKIE欺騙,如果主要考慮到安全應當使用session (3)session會在一定時間內保存在服務器上。當訪問增多，會比較占用你服務器的性能，如果主要考慮到減輕服務器性能方面，應當使用COOKIE (4)單個cookie在客戶端的限制是3K，就是說一個站點在客戶端存放的COOKIE不能3K。 (5)所以：將登陸信息等重要信息存放為SESSION;其他信息如果需要保留，可以放在COOKIE中