cookie和session是web开发新手容易搞混的两个概念，弄清楚两者有助于对web交互更好的理解。个人认为session和cookie的区别主要有如下几点：

cookie

信息保存在客户端

具体实现由客户端负责

数据大小和数量一般有限制

数据容易被窃取和篡改

session

数据保存在服务端

具体实现由服务器负责

数据大小和数量原则上无限制

安全性较高，可信度强

狭义的session指的是web会话中的session id以及关联的数据，广义的session指通信双方的交互会话。例如用户登录是一次session交互，在ATM机取钱是一次session交互，等等。

session的细节

session的主要作用是标识一个会话，并保存会话期间的数据。以下是session的一些细节。

存取

PHP通过$_SESSION超全局变量获取和存放session中的所有数据。$_SESSION是一个数组，可以方便的进行赋值和读取，例如：

$name = $_SESSION['NAME']; // 读取session中的name值$_SESSION['NAME'] = 'new name'; // 赋新值unset($_SESSION['NAME']); // 移除session中的值

过期时间

默认session中的数据有可能在session超时后被移除，这取决于PHP是否及时运行垃圾回收。由于PHP运行垃圾回收的系数是请求数，带来的后果是：1. 低流量的站点超时很久后session数据也未被移除； 2. 大流量站点频繁的进行session垃圾回收； 3. 运行垃圾回收在执行用户请求前，遇到了运行垃圾回收的用户可能会感受到系统延迟。一个更好的解决办法是禁用PHP的默认垃圾回收，以cron任务定时执行session_gc函数。这样既保证session的时效性，也能带来性能和用户体验上的提升。

手动移除session中的数据可以用unset移除单个数据项，或者session_destroy函数暴力删除所有的数据。

存储介质和序列化

session中的数据默认以文件形式保存在磁盘上，session打开时读取文件内容反序列化，然后填充$_SESSION数组。在大流量的站点中，存放session文件的目录下会包含大量小文件，将对文件系统造成沉重的IO负担。

session模块中的handler可以指定数据保存方式，例如存放到数据库中、redis/memcache等介质中。PHP内置的handler包括files(默认)，redis和memcache。用户可以通过session_set_save_handler来注册自己的handler。

session中存放的数据可能是字符串等基本类型，也可能是数组、对象等复杂类型。session设置中的serialize_handler用来设置序列化和反序列化的handler，hanlder将数据序列化后，在交给save_handler保存。由序列化可知，resource等类型不能也不应该保存到session中。把一个db的连接句柄保存到session中，然后10分钟后再取出来用，这样的想法应该尽快抛掉。

session设置名称

由于http是无状态协议，客户端请求时需要携带session id才能让服务端区分出session。默认的标识session id的名称是PHPSESSID，可以使用session_name来设置其他的名称。例如为了防止攻击者猜出后端是PHP语言的系统，可以设置session id的名称为JSESSIONID，迷惑攻击者。

session自动开启

目前主流的PHP版本默认都不会自动开启session。例如某个访客就随便看一下页面就离开，如果自动开启session，将进行一系列的初始化操作后将session id发送到客户端，以便下次访问时能识别出用户。对于一次性的访客，或者非系统的登录用户，这些操作只会带来额外的开销。

session不自动开启的劣势是使用session前，要确保session已经打开，否则可能取到空数据。如果重命名了默认的session名称，需要在session_start前调用session_name指示目前使用的session名称。

分布式session

大流量的站点，后端提供服务的往往不止一台PHP服务器。如果用户的多次请求不是落在同一台服务器上，而服务器的session数据不共享，可能导致要求用户重复登录的情况发生。解决这个问题的方案既可在前端请求分发做，也可在后端通过设置分布式共享session来实现。

以文件形式保存session数据的系统中，可以指定某个目录为共享目录，所有服务器的session都保存在该目录下；以redis/memcache/db等方式存放session的系统中，配置连接到同一个session服务器即可做到session共享。以session共享方式搭建的系统，前端负载均衡器可以随意分发请求到任意服务器上。