问像Facebook这样的网站会在cookie或会话中登录用户吗？

EN

通常，敏感信息必须存储在服务器端--记住，用户可以自由地读取和修改cookie。

您可能看到的是会话cookie，它将特定客户端绑定到服务器上的特定会话-这是为了让服务器知道要为您使用哪个会话。在这种情况下，cookie包含的唯一内容是一个长的随机会话ID -它是长的随机的，所以攻击者不容易猜到它。

窃取另一个用户的会话cookie的行为称为session hijacking。

其他信息：

PHP手册中的

• Cookie VS Session
• Session chapter

我认为$_sessions背后的想法是，服务器处理自己的信息要快得多，效率也高得多，而不是从客户端接收大量信息。

这样看：

你(服务器)和一个朋友(客户端)在闲聊你的另一个朋友辛迪，你的朋友会给你关于她的每一个细节信息(发色，身高，等等)吗？不，那是浪费时间。对于你来说，处理你已经知道的关于Cindy的信息(在$_session文件中，服务器端)，并且只从你的朋友(客户端)那里接收唯一的信息($_cookies)，对你来说要快得多。

效率：“嘿，你听说辛迪昨晚做了什么了吗？”

效率不高：“嘿，你有没有听到昨晚那个棕色头发，蓝眼睛，中等身材的辛迪做了什么？”

显然，本文并没有完全概括$_sessions和$_cookies，但也许可以帮助人们理解有效的短期数据管理。

它们将服务器端会话与cookie结合使用。

cookie包含一个ID，该ID被发送到FaceBook，服务器将检查具有该ID的会话的详细信息。