Session VS Cookie แตกต่างกันอย่างไรนะ

UnzO · 02 กันยายน 2008, 15:40:02

ใครช่วยบอกผมหน่อยครับว่ามันต่างกันอย่างไร รวมถึงการนำไปใช้ในกรณีต่างๆ อันไหนมีความสารถมากกว่ากัน ข้อดีและข้อเสีย และความสะดวกในการใช้งาน

หากผมต้องการทำระบบ Admin ผมต้องใช้ตัวไหนดี ดูแล้ว ผมแยกแยะไม่ออก แต่ผมใช้ Session อยู่ มันไม่ปลอดภัยรึปล่าว

zerohate · 02 กันยายน 2008, 15:43:42

Session ทำงานอยู่ที่ฝั่ง server
Cookie ทำงานอยู่ที่เครื่องเรา

ผมคิดว่าแบบ Session ปลอดภัยกว่านะครับ เพราะพอเราปิดหน้านั้นไป มันก็จะโดนล้างไปแล้ว

UnzO · 02 กันยายน 2008, 15:45:29

นอกจากนั้น มันยังมีข้อด้อย อะไรกันรึปล่าวครับ

EThaiZone · 02 กันยายน 2008, 15:51:54

ข้อด้อยหนึ่งของ session ก็คือทำงานได้ไม่เหมือนคุ๊กกี้
เพราะข้อมูลจะหายถ้่ามีการปิดหน้าต่าง ดังนั้นในหลายๆ งาน

การเดินสายกลางคือใช้ร่วมกันในส่วนที่ต้องการ ทั้ง session และ cookie ก็จำเป็นทั้งคู่ครับ

ปล. สนับสนุนให้มีการ encrypt ค่าใน cookie ในข้อมูลสำคัญเพื่อความปลอดภัย
เพราะคุ๊กกี้มันแก้ไขกันได้

UnzO · 02 กันยายน 2008, 15:54:23

อ้างถึงจาก: EThaiZone ใน 02 กันยายน 2008, 15:51:54
ข้อด้อยหนึ่งของ session ก็คือทำงานได้ไม่เหมือนคุ๊กกี้
เพราะข้อมูลจะหายถ้่ามีการปิดหน้าต่าง ดังนั้นในหลายๆ งาน

การเดินสายกลางคือใช้ร่วมกันในส่วนที่ต้องการ ทั้ง session และ cookie ก็จำเป็นทั้งคู่ครับ

ปล. สนับสนุนให้มีการ encrypt ค่าใน cookie ในข้อมูลสำคัญเพื่อความปลอดภัย
เพราะคุ๊กกี้มันแก้ไขกันได้

ขอบคุณมากครับคุณโจ้ เดี๋ยวจะลองศึกษาดูอีกหน่อย เพิ่งเจอระบบที่ต้องใช้การจดจำตัวบุคคลครั้งแรก ปกติไม่ค่อยไม่ได้ใช้เท่าไหร่

minute1 · 02 กันยายน 2008, 16:41:05

Session ต้องใช้ Cookie ในการเก็บ Session Id หรือไม่ก็ต้อง Rewrite ไปกับ URL ยังไงมันก็หนีไม่พ้น Cookie

tinnoi · 02 กันยายน 2008, 17:09:11

อ้างถึงจาก: EThaiZone ใน 02 กันยายน 2008, 15:51:54
ข้อด้อยหนึ่งของ session ก็คือทำงานได้ไม่เหมือนคุ๊กกี้
เพราะข้อมูลจะหายถ้่ามีการปิดหน้าต่าง ดังนั้นในหลายๆ งาน

การเดินสายกลางคือใช้ร่วมกันในส่วนที่ต้องการ ทั้ง session และ cookie ก็จำเป็นทั้งคู่ครับ

ปล. สนับสนุนให้มีการ encrypt ค่าใน cookie ในข้อมูลสำคัญเพื่อความปลอดภัย
เพราะคุ๊กกี้มันแก้ไขกันได้

แล้ว encrypt ค่าใน cookie ทำยังไงเหรอครับ

EThaiZone · 02 กันยายน 2008, 18:14:18

ลองหาใน phpclasses.org มีตั้งหลายตัว

โค้ด เลือก

http://www.phpclasses.org/browse/class/20.html

อย่างที่ผมเคยใช้ ก็เช่น base32 แต่เราต้องใช้ให้เป็นหน่อย
อย่างผมก็ประยุกต์เขียน check digit (เหมือนหลักที่ 13 ของเลขบัตรประชาชนอะ) เพิ่มลงไป กันคนแปลงข้อมูล
(ถ้าพูดเชิงละเอียด คือ inject digit เพราะค่าที่ว่าไม่ได้อยู่หัวท้ายเหมือนชาวบ้านเขา)
ไม่ก็เขียนให้สร้าง master key ใหม่ทุกๆ วัน จะได้เดาทางยาก

อะไรแบบนั้น ลองใช้ดูแล้วดูผลการ encrypt ด้วย
บางตัวคืนค่ามากกว่าตัวอักษรที่เราอ่านได้ ก็ไม่เหมาะที่จะมาเก็บลงคุ๊กกี๊

(เก็บไปเดี๋ยวกลัวมันรวน)

ค่าที่ควรเก็บ ก็อย่างเช่น hash ของ password หรือ username แนวๆ นี้แหละครับ

thenetxx · 03 กันยายน 2008, 20:10:29

ค่า hash ของคุ๊กกี้ ไม่มีอะไรยาก ก็แค่เอา รหัส+keywordที่เราตั้งขึ้นเอง
เอาใส่ base64 base32 หรือ md5 ก็ได้ ลง cookie ไว้

เวลาเช็ค ก็เอาข้อมูลใน db มา+keyword แล้วก็เข้ารหัสตามข้างบน แล้วเทียบกัน
ถ้าเหมือนกันก็ใช้ได้ล่ะครับ

ที่ต้องระวังคือพวก XSS เท่านั้นครับ

@Sephiroth@ · 03 กันยายน 2008, 22:28:27

Session อยู่ฝั่ง Server
Cookie อยู่ผั่ง Client

สองตัวนี้ทำงานเหมือนกัน แต่ส่วนต่างคือความปลอดภัย ลองคิดดูครับถ้าคุณเขียน Script ขายของตัวหนึ่งโดยอ้างอิงจาก Cookie
ถ้าเจอคนห้วหมอเปลี่ยนราคาใน File Cookie จะเกิดอะไรขึ้น ?

คุณต้องขายของขาดทุนไปไม่รู้ตัว หรือแม้แต่ข้อมูลพวก Password , Username ถ้าเก็บด้วย Cookie ถือว่าอันตรายมาก ถ้าคนอื่นเข้ามาดู นี่เสร็จเลย.

ส่วน Session ก็ใช้ว่าจะปลอดภัย 100% น่ะัครับ มีพวกหัวหมอแอบไปดู Session คนอื่นในเครื่อง Server แบบ Share Host

ถ้าให้ดีใช้เครื่องส่วนตัวครับ แพงดี

tarnroma · 03 กันยายน 2008, 23:02:01

ตามนั้น SessionID เป็น ID อ้างอิง จาก Browser เพื่ออ้างถึง Session ที่เก็บอยู่บน Server อีกถอดนึง

ทุกๆครั้งที่ Click เปิด Browser ใหม่ จะได้ SessionID ใหม่เสมอ (เปิดใหม่ ไม่ใช่จากการกด Link ถ้ากด Link จะสืบทอด SessionID เดิม)

Session จะปลอดภัยกว่า Cookie แต่ก็มีข้อจำกัด ในการใช้งานมากกว่า Cookie

Session มีข้อควรระวังในการใช้งานอีกมาก ยิ่งพวก .NET ที่โปรแกรมเมอร์บางคนชอบ ยัด Dataset ลง Session
แต่ไม่ได้ดูจำนวน Concurrent User กรณีบางโปรแกรม มี Concurrent มากๆ ก็จะเกิด Overflow เดี้ยงเป้งกันเป็นทิวแถว

king_sk · 03 กันยายน 2008, 23:55:23

ถ้าเว็บที่คนเข้าเยอะๆ หรือ เก็บ อะไรที่ไม่สำคัญมาก แนะนำให้ใช้ Cookie เพราะไม่หนัก server เพราะ Cookie จะเก็บไว้ในเครื่องเรา

ส่วน session จะเก็บไว้ใน server

starmark · 04 กันยายน 2008, 00:05:37

ใช้คู่กันครับเพื่อประสิทธิภาพสูงสุด

WPDSign · 14 พฤษภาคม 2009, 09:51:47

cookie เก็บอยุ่ที่ไหนของเครื่องครับ ยังไม่เคยเข้าไปดูเลย

kuznetsova · 14 พฤษภาคม 2009, 11:42:49

ลองใช้ funciton md5() เข้ารหัสใน phpดูครับ

ส่วนไฟล์ cookie จะอยู่ tempolary internet file ครับ

oosora · 14 พฤษภาคม 2009, 11:49:55

สรุปง่ายๆ

cookie เก็บไว้ที่เครื่อง client
session เก็บไว้ที่ server

ปลอดภัยกว่าก็ session
แต่ถ้าเอาประหยัด+อร่อยก็ใช้ cookie

peglui · 14 พฤษภาคม 2009, 12:34:35

อ้างถึงจาก: doteenee.com ใน 14 พฤษภาคม 2009, 09:51:47
cookie เก็บอยุ่ที่ไหนของเครื่องครับ ยังไม่เคยเข้าไปดูเลย

วิธีดูอย่างไวเลยก็คือ

พิมพ์
javascript:alert(document.cookie)
ไปบนช่อง address bar ตอนที่เข้าหน้าเว็บนั้น ๆ อะเพื่อดู cookie ของเว็บนั้น ๆ มันจะขั้น cookie แต่ละตัว ด้วย ;