session与cookies的区别

                      session变量保存在客户端主机的内存上，关闭浏览器或者session脚本过期后，即自动清除。
    cookies保存在客户端主机的硬盘上，可以自行设置cookies的存在周期，除非设置了临时cookies，否则关闭浏览器后cookies信息仍旧保存在主机的硬盘上。
    Cookies的安全性能一直是倍受争议的。虽然Cookies是保存在本机上的，但是其信息的完全可见性且易于本地编辑性，往往可以引起很多的安全问题。所以Cookies到底该不该用，到底该怎样用，就有了一个需要给定的底线。
    先来看看，网站的敏感数据有哪些。
    登陆验证信息。一般采用Session("Logon")＝true or false的形式。
    用户的各种私人信息，比如姓名等，某种情况下，需要保存在Session里
    需要在页面间传递的内容信息，比如调查工作需要分好几步。每一步的信息都保存在Session里，最后在统一更新到数据库。
    当然还会有很多，这里列举一些比较典型的
    假如，一个人孤僻到不想碰Session，因为他认为，如果用户万一不小心关闭了浏览器，那么之前保存的数据就全部丢失了。所以，他出于好意，决定把这些用Session的地方，都改成用Cookies来存储，这完全是可行的，且基本操作和用Session一模一样。那么，下面就针对以上的3个典型例子，做一个分析
    很显然，只要某个有意非法入侵者，知道该网站验证登陆信息的Session变量是什么，那么他就可以事先编辑好该Cookies，放入到Cookies目录中，这样就可以顺利通过验证了。这是不是很可怕？
    Cookies完全是可见的，即使程序员设定了Cookies的生存周期（比如只在用户会话有效期内有效），它也是不安全的。假设，用户忘了关浏览器 或者一个恶意者硬性把用户给打晕，那用户的损失将是巨大的。
    这点如上点一样，很容易被它人窃取重要的私人信息。但，其还有一个问题所在是，可能这些数据信息量太大，而使得Cookies的文件大小剧增。这可不是用户希望所看到的。
    显然，Cookies并不是那么一块好啃的小甜饼。但，Cookies的存在，当然有其原因。它给予程序员更多发挥编程才能的空间。所以，使用Cookies改有个底线。这个底线一般来说，遵循以下原则。
    不要保存私人信息。
    任何重要数据，最好通过加密形式来保存数据（最简单的可以用URLEncode，当然也可以用完善的可逆加密方式，遗憾的是，最好不要用md5来加密）。
    是否保存登陆信息，需有用户自行选择。
    长于10K的数据，不要用到Cookies。
    也不要用Cookies来玩点让客户惊喜的小游戏。