关于pHp的cookie与session在项目中使用问题

1. 小白来问一个初级的问题，关于php的COOKIE与session问题
2. COOKIE是保存在客户端的，session是保存在服务端的tmp目录下
3. COOKIE大多数的使用场景是什么，因为http是无状态的，是否一般大型网站的会员登录都是COOKIE实现？
4. 如果大型网站会员状态使用session实现，那么是不是不科学的？而且会影响服务器性能，再则就是这种基于文件型的session在遇到负载均衡时会找不到对应session
5. 一般大型网站是否采用了基于redis或者memcache的COOKIE session ？

各位平时COOKIE，session使用最多的场景有哪些

回复内容：

1. 小白来问一个初级的问题，关于php的COOKIE与session问题
2. COOKIE是保存在客户端的，session是保存在服务端的tmp目录下
3. COOKIE大多数的使用场景是什么，因为http是无状态的，是否一般大型网站的会员登录都是COOKIE实现？
4. 如果大型网站会员状态使用session实现，那么是不是不科学的？而且会影响服务器性能，再则就是这种基于文件型的session在遇到负载均衡时会找不到对应session
5. 一般大型网站是否采用了基于redis或者memcache的COOKIE session ？

各位平时COOKIE，session使用最多的场景有哪些

这位同学，如果这是你自己刚学COOKIE和session就想出来的问题，那真的很不错了。我学了好几年后才发现这些问题，真是惭愧啊。

COOKIE保存在客户端的，所以你可以用来保存对安全性要求不高的数据比如购物车和一些浏览记录等。这样可以从一定程度上缓解服务器的压力(相对session)。
登陆一般都是session的，关于你说的大型网站使用以文件的方式保存session是会拖慢运行速度(当一个文件夹下session文件过万后其查找效率将会特别低)。所以我们一般使用数据库和缓存技术来实现（像memcache和redis都是很好的解决方案）。在PHP中可以重新定义session的存取机制的。

PHP提供的SESSION机制使用简单,但缺点也是很明显的,比如实现购物车功能:
一个在手机上登录的用户,添加了多个商品到购物车.
当这个用户在电脑上登录后,并不能获取购物车里的内容,因为这两次登录的PHP SESSION的ID是不同的.
所以大多数网站,都是基于COOKIE和数据库实现身份验证和购物车等功能的.

先说身份验证,COOKIE里存用户ID和密码哈希,验证时根据ID查询数据库的用户密码,经过同样的哈希算法计算后,跟$_COOKIE里的密码哈希比对,一致则通过认证.然后就可以根据用户ID查询购物车数据表里的商品记录了.

当然,你也可以用COOKIE结合数据库实现类似PHP SESSION的机制,这里提供一个思路:

online(sessid,session,time,version);
CREATE TABLE `online` (
    `sessid` int(10) unsigned NOT NULL DEFAULT '0',
    `session` varchar(20000) NOT NULL DEFAULT '',
    `time` int(10) unsigned NOT NULL DEFAULT '0',
    `version` int(10) unsigned NOT NULL DEFAULT '0',
    PRIMARY KEY (`sessid`),
    KEY (`time`),
    KEY (`version`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_general_ci;

其中:
sessid是用户ID.
session存储用户会话,内容是会话数组serialize序列化后的串.
time是记录更新时间.
version是版本号,用于实现CAS(Check And Set)乐观锁.

读写函数:

function cn_session_get($sessid) { CRUD($_COOKIE['myid'],online) + return unserialize($session); }
function cn_session_set($sessid,$session) { serialize($session) + CURD_CAS_UPDATE }

函数调用:

$session = cn_session_get($sessid);
echo $session['ip'];
$session['ip'] = $_SERVER['REMOTE_ADDR'];
cn_session_set($sessid,$session); 或者 register_shutdown_function(cn_session_set,$sessid,$session);

cn_session_set()时用版本号version乐观锁进行冲突检测,保证session字段的数据完整性:

cn_session_get: SELECT * FROM online WHERE sessid=1;
cn_session_set: UPDATE online SET session=$session,version=last_version+1 WHERE id=1 AND version=last_version;

如果没有更新记录,则返回AJAX操作失败的提示.

对比:PHP内置的会话机制使用的是排它锁(悲观锁).
session_start()开启的是一个对sess_ID会话文件的写保护锁,
其他页面操作同一个sess_ID会话文件的session_start()将会被阻塞,
直到请求完成或者用session_write_close()显式关闭.
这样的SESSION锁机制就避免了下面的情况:
A页面和B页面读取了相同的一份会话信息.
A页面修改并写入了会话变量a.
B页面随后也修改并写入了会话变量b.
这时B页面会覆盖了之前A页面写入的会话变量a.
注意:这种并发一般很少发生,所以基于数据库实现的会话机制使用乐观锁,也是合理的,并不会频繁遇到操作失败的情况.
会话应用场景:记录登录后的用户信息,购物车(读取/添加/删除),观看记录,验证码,csrf_token.
把购物车数据存以序列化或JSON串形式存到数据库字段中,也就丧失了SQL查询功能.
如果是以数据库记录的形式来存储购物车,则方便进行SQL查询.

COOKIE与session并用
session安全性高于COOKIE
但session耗费更高的服务器资源
小型站点无所谓，session即可
大型站点，可以在关键时刻用session。平时的用COOKIE
比如涉及到支付之类的用session登陆
比如点赞啊转发啊这些无所谓的操作，读COOKIE即可。

COOKIE在客户端存储，session在客户端存储凭证，在服务器端存储对应数据，所有牵扯到登录状态的验证用session，如果仅仅存储临时状态，比如说记录UI中菜单项位置，用COOKIE即可。