管理控制面板的一个网站,我正在建设需要一个登录脚本。活动用户存储在mysql表中,但是一旦用户通过身份验证,我应该将令牌存储为会话还是cookie?哪个(如果有的话)更安全?
绝对是Sessions。它们存储在服务器上。cookie存储在客户端,用户可以方便地对其进行编辑。
会话只不过是一个服务器端cookie,因为数据存储在服务器上。客户端仍然得到一个cookie,对于PHP,它是(PHPSESSID或类似的东西),这只是一个标识会话的数字。
使用会话的一些优点是你不需要在每个请求中传递数据,并且客户端不能"扰乱"它。
同样,在PHP中,您可以实现自己的会话存储机制,因此您不受任何会话大小限制,但这可能远远超出了您的范围:p (session_set_save_handler,参见PHP.net了解更多信息)。