我想浏览器是自动识别服务器的,sessionID不是乱发的,而是在什么网站使用了session,那么这个session就只被发送到该网站,所以在本地伪造只能说是徒劳,除非如楼上一位所说的,你能生成当前该网站在线用户的合法sessionID,并让浏览器发送到服务器,但这种可能性是微乎其微的,论安全性,你要保存敏感数据当然无可厚非地使用session,而不是cookie, cookie是经过简单编码并保存在客户机,根本没有安全性可言,论坛之类的使用它只是用了保存客户上次登录时间之类的信息,这样,一来可以减少服务器的资源开支,另外,就是利用这些变量来统计自上次登录后有多少新贴发布啊之类的信息,这些是不要求多少安全性的,你若是清空了它,你会发现,论坛的新帖统计数也就跟着变了。 http://chinaunix.net/forum/viewtopic.php?t=108075 session是针对每一个用户的,变量的值保存在服务器上,但是如何区分是哪个用户session变量呢,这里就有一个sessionID,这个值是通过用户的浏览器在访问的时候返回给服务器,当客户禁用cookie时,这个值也可能设置为由get来返回给服务器。目前,有的浏览器的sessionID不能跨页,有的可以,如IE,MYIE2对session的处理是不同的,后者只要你开过这个网站的页面,即使关闭后(指关闭子窗口,它是多页面浏览器),再重新打开,sessionID依然存在,而无需重新注册。sessionID是经过加密,加密算法比较复杂,被黑的可能性很小,而cookie是保存在客户机子上,安全性较差。另外,如楼上所说,session可以设置有效或无效,可手工建立,也可自动建立,可以设置过期时限。
另外,你所说的tmp可能只是环境变量而已,不是一个物理目录,可设置指向到用户物理的临时目录。
另外,你所说的tmp可能只是环境变量而已,不是一个物理目录,可设置指向到用户物理的临时目录。
已經完成初始化了,但如何使用呢?我們只要在使用者登入的地方,把原本使用 Session 儲存的資料,如帳號、登入時間,改成我們建立好的 Application 物件中就可以了:'尋找未被使用的空間For i = 1 To Application("ClientMax") If Application("User_Status_" & i) = 0 Then '使用者暫時編號 Session("Index") = i '鎖定 Application Application.Lock '設成已使用的狀態 Application("User_Status_" & i) = 1 '放入變數資料 Application("User_Account_" & i) = Account Application("User_Logtime_" & i) = Now() '解除鎖定 Application.Unlock Exit For End IfNext
要取得使用者的相關變數資料則就像下面的做法:Response.Write(Application("User_Account_" & Session("Index")) 你可能會發現,不是說不要使用 Session 嗎?那為什麼上面的原始碼中還有 Session 的存在?前面也說過,這替代方案並不能完全代替掉 Session,瀏覽器並不是一直和 Server 處於連線狀態的,讀取完頁面就斷線,那我們要怎麼知道下次連線的還是同一個人呢?這時候就必須要靠 Session,我們給使用者一組即時的編號,此編號就是使用者於 Application 上變數空間的號碼,你可以想像成銀行中有很多的保險箱,你擁有一支鑰匙,而鑰匙上有編號,鑰匙上的編號可以讓行員帶領你去你自己的保險箱。此方法尚還有改進之處,但對小型的應用程式已經是很夠用了。■第二方案 關於上一方案,你可能也想到,我們自訂的編號使用了 Session 來記錄,講到編號,Session 物件有提供一個『 SessionID 』方法。沒錯,不管我們要不要使用,Server 都會自動幫每個用戶編列號碼,且此號碼不會重複,至於這號碼就是用 Session.SessionID 取得。這編列號碼是 Session 一定會做的動作,我們就可利用它代替我們自己寫的編號程式,亦又省了一道功夫,甚至有更大的擴充性。但基本上,上面的第一個方案還是有它的用途在,像是會限制人數的聊天室等等小應用程式,接下來的第二替代方案,就是針對較大型的系統了。 每秒上站人數達數百數千甚至上萬人的網站,使用之前的方案,必定是行不通的。假設你將上限人數設 10000 ,Server 一啟動就會幫你切出一萬個區域準備給一萬個使用者,假若一個區域中有 5 個變數,一個變數佔 32 位元組(Byte),10000 個就佔了 320000 K(320MB) 以上,Server 一啟動就塞了那麼多的垃圾到記憶體,效能勢必還沒上戰場就降低不少;而且別看這些數字很少,以為自己的 512 MB 會夠用,上面的數字是假設一個最低數字,加上 Server 在配置記憶體時會額外使用到多少資源不得而知,所以只會更多不會更低。因此解決辦法只有動態配置使用者變數空間,當有使用者與 Server 連線時才切一塊區域出來,如此便不須要事先就配置好龐大記憶體。 第二方案做起來是比較簡單,請把第一方案的東西全部丟掉,我們不需要動到 Global.asa,只需要改使用者登入的地方和其他有用到的地方:'鎖定 ApplicationApplication.Lock '放入變數資料Application("User_Account_" & Session.SessionID) = AccountApplication("User_Logtime_" & Session.SessionID) = Now() '解除鎖定Application.Unlock
要取得使用者的相關變數資料則就像下面的做法:Response.Write(Application("User_Account_" & Session.SessionID))
以往看很多書,都寫著 Session 吃資源吃的很兇,儘量不要用,可是必須用的時候還是得用,書裡又都沒教較妥當的解決辦法。現在當你懂了如何替代 Session,好好去利用吧!或許老是困擾的效能問題能因此改善不少!
1) InProcStateClientManager 这是传统的Session保存方式,但是还是有些细微差别
2) SqlStateClientManager 这是将Session保存到数据库方式
3) OutOfProcStateClientManager 这是将Session保存到进程外的方式
Asp.Net的Session机制有一个特点,就是处理Session的辅助进程与保存Session的状态服务器是分开的,按照MSDN的说法,有下列好处:
“因为用于会话状态的内存不在 ASP.NET 辅助进程中,所以可以实现从应用程序故障的恢复。”
“因为所有状态与辅助进程不存储在一起,您可以干净地跨多个进程对应用程序进行分区。这种分区可以显著地提高多个进程的计算机上应用程序的可用性和可缩放性。”
“因为所有状态与辅助进程不存储在一起,所以您可以跨运行于多个计算机上的多个辅助进程对应用程序进行分区。”
Asp.Net的Session机制个人观点,感觉灵活性比较好,内部实现也比较巧妙,但是实际上因为没有做过多的测试,所以应用上会不会像它说的那么美好,不敢打包票。有机会,我会单独写篇文章来深入的探讨Asp.Net 内部的Session机制。 3、Cookie 这个没甚么好说,实际上Asp.Net与Asp的Cookie没甚么分别,也许这项技术毁誉参半,而且比较依赖客户机实现,MS也没什么改进的。 4、ViewState 这是我们今天重点讨论的;实际上ViewState并不神秘,就是一个Hidden字段,但是它是服务器控件状态保存的基础;不熟悉的朋友可以用IE查看Html源码,找到一个名为"__VIEWSTATE"的Hidden字段,其中有一大堆乱七八糟的字符,这就是页面的ViewState。 做过Web程序的人可能都有这种痛苦的体会,有时候为了处理页面上面比较复杂的功能,常常会加很多Hidden,然后在服务器端用一大堆判断来分析目前的状态,写起来烦人,写完了代码更是难看;实际上,ViewState就是帮我们系统的实现了保存控件状态的功能,服务器端控件能够在多次请求间保存状态也全靠它。
一般除了客户端的个性化设置和登陆信息之类的用cookie外,其他信息的保存多用Session
cookie用起来相对麻烦一些