PHP中session和cookie的话题争论过N遍了，这几天面试又不止的一次的看到这个题，今天把自己整理的资料贴给大家 首先还是要先说明一下session和cookie之间的一些特性: session是保存在服务器端的，但sessionid是保存在客户端的。

客户端禁用了cookie，session将不可用。 session需要借助cookie才能正常工作。尔cookie不需要依赖session，就可以独立工作。

如果客户端完全禁止cookie，session将失效， cookie是完全保存在客户端的,客户端禁用了cookie，cookie将不可用。这点大家应该都没有疑问。

这两个都可以用来做会话，不同的是功能各异， session不能区分路径，同一个用户在访问一个网站期间，所有的session在任何一个地方都可以访问到。而cookie中如果设置了路径参数，那么同一个网站中不同路径下的cookie互相是访问不到的。

session和cookie都有有效期的说法 session是放在服务器上的，过期与否取决于服务期的设定，cookie是存在客户端的，过期与否可以在cookie生成的时候设置进去。

当然cookie 也可以设置成关闭浏览器既消失.但你cookie设置的有效期再长，客户端的用户只要一删除本址cookie，你的cookie立马完玩。

不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗考虑到安全应当使用session session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能 单个cookie在客户端的限制是3K，就是说一个站点在客户端存放的COOKIE不能超过3K。

一个web站点向客户端发送的cookie不得超过20个,一个浏览器能创建的Cookie数量最多为30个，并且每个不能超过4KB 二者的一些特性现在说完了，现在主要说说上面提到的如果禁用了cookie，为什么 session不能正常工作， 我发现很多人包括我以前一直以为session和cookie是独立工作的,二者互不干扰，就最近我以发现session必须得依赖cookie才能正常工作。

很困惑吧，session不是保存在服务器端的吗，为什么禁用了cookie就不能工作了，答案是这样的：

所谓的session保存在服务器端是没错，但是http是无状态的协议也就是说，但浏览器解析完一个网页后，客户端为立即断开和服务器之间的联系，那么session是凭什么知道这个会话是这个客户端的呢，这就要用到cookie了，session在开启的时候会生成一个独立的sessionid，这个sessionid是通过cookie保存在客户端的，每当客户端刷新网页，浏览器都会把这个id发给服务器端，服务器再根据这个id来找到在服务器上保存的session 信息从而识别用户，说白了，就是每次用session会话，session的内容是在服务器端保存，而他会给客户端一把用来访问这些信息的钥匙，而这个钥匙就是sessionid,所以说当浏览器禁用了cookie， session就不能工作了，因为客户端得不到这个钥匙，他就没法去开启服务器端保存的session这个大门。