禁用 cookie 的 PHP session ，它有效吗？

Question

今天我参加了一份 PHP 开发人员的 Skype 面试，其中一个问题是关于 Cookie 和 PHP session 。

问题是，如果在用户浏览器中禁用了 Cookie，是否可以设置和读取、使用 PHP session ？

我告诉他们没有，因为默认情况下 PHP session 依赖于设置 session cookie。当 PHP session 启动时，新 session Cookie 设置为默认名称 PHPSESSID，并且该 cookie 保存该 session ID 的值，例如:ftu63d8al491s5gatuobj39gk7然后在 tmp 文件夹中的 apache 服务器上创建 sess_ftu63d8al491s5gatuobj39gk7 文件并保存该 session 的内容，例如:test1|s:12:"SessionTest1";test2|s:12:"SessionTest2";

他们告诉我这不是真的，即使用户在其浏览器中禁用 cookie，您也可以使用 PHP session 。

然后我告诉他们你可以这样做，但是 session ID 将作为 GET 变量通过 URL 传递。这并不安全，您必须在 php.ini 中进行设置。

他们在讨论如何在浏览器中禁用 Cookie 的情况下使用 PHP session 。如果我们正在建立网上商店，而一些奶奶使用我们的网上商店并禁用了 cookie 而她却不在乎。而且 PHP session 很棒，因为即使用户禁用了 Cookie，您也可以使用它们。我就像wtf，wtf wtf？!？!

我用两个文件进行了测试，index.php 启动 session 并设置 session 变量。然后 session.php 尝试读取该 session 变量。

看起来是这样的:

index.php

<p>This is where I start and set php sessions.</p>

<?php

    session_start();
    $_SESSION['test1'] = "SessionTest1";
    $_SESSION['test2'] = "SessionTest2";

?>

<p>This is a link, that starts new HTTP Request, and tries to read session set on this page:</p>
<p><a href="session.php">Read Session</a></p>

session.php

<?php

    session_start();
    var_export($_SESSION);

?>

<p><a href="index.php">Back</a></p>

现在，如果您在浏览器中启用 cookie，访问 index.php，然后访问 session.php ， session 将被打印出来。

但是，如果你清除浏览器历史记录和cookies，然后访问index.php，再访问session.php，你会看到空数组对吗？

所以基本上我的问题是，我说的对吗？如果您在浏览器中禁用 cookie，您可以使用 PHP session 吗？而PHP Session 机制是否默认，取决于设置一个 session COOKIE？

更新:我对此很生气，所以我给正在和我说话的那个人打了电话。并问他，默认情况下 PHP session 可以在没有 cookie 的情况下工作吗？那家伙说“是的”。然后我告诉他他错了，他说:“是的，是的，如果你这么说……”然后开始大笑。然后我告诉他，如果 PHP session 可以在不设置 cookie 的情况下工作，那么服务器如何知道当前用户/浏览器 session id，如果它没有存储在 session cookie 中？ (我想看看他是否知道 session id 可以作为 GET 变量传递)他至少安静了 20 秒，并告诉我他是系统管理员，我应该问那个开发人员。他今年 43 岁，拥有 13 年的丰富经验(他从 30 岁开始？wtf？)，但他相信我这一点。我向他解释了 Session 是如何工作的，你可以在没有 Cookie 的情况下使用它，但是 session id 作为 GET 变量传递，并告诉他我在面试时告诉他们，但他们告诉我不，不，不...... :S

所以基本上，这个家伙对 PHP 和 PHP session 一无所知，是的，他是那个问我 session 的人，告诉我 PHP session 可以在没有 cookie 的情况下工作，即使我告诉他它不能完成，并且有一种方法可以在没有 cookie 的情况下使用 PHP session ，但默认情况下它不会工作。他说，不不不……最后他告诉我，他认为 session 可以在没有 cookie 的情况下工作，因为他作为服务器上的系统管理员，永远看不到 tmp 文件夹中的 session ？!？!？

不管怎样，那些家伙PHP很烂，我不可能接受他们的工作机会，毕竟我不认为他们会提供给我工作......

感谢所有评论!

Answer 1

"A visitor accessing your web site is assigned a unique id, the so-called session id. This is either stored in a cookie on the user side or is propagated in the URL. "

Sessions: Introduction