说一下这2个的基本信息吧，2个统称为会话，session存在于服务器端，cookie存在于用户端。之前有人说过如果禁用了cookie那么session就使用不了了，可以说这是正确的，也可以说这是错误的。因为禁用了cookie，session_id就不能保存，而服务器正是根据session_id来判断用户的session，所以说这是正确的。经过测试，当我们禁用cookie时，刷新页面session_id会改变，说明session_id是用cookie保存的。

解决cookie禁用然后引用session的方法。

1.

session.use_cookies = 0  //设置客户端是否使用cookie来保存session值  该参数的值不影响上述机制的进行。

但是为了验证该机制，这里把该参数设为0，排除cookie携带seesionid的可能

session.use_only_cookies = 0  //是否只使用cookie来保存session值  该参数为1时，上述机制失效。

设置session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项

这样他会在每个url后面自动加上PHPSESSID的值，然后正常使用session就可以了。

2.

在url后面加上session_id的值或者保存session_id的值于数据库或redis中，然后在下一次要调用session前，运行session_id（$session_id），还有这条语句要在session_start()前。

目前我了解到的只有这两种方法可以解决。

然后我再聊下session_id吧，它是保存在cookie中，首先session是一个只要活动就不会过期的东西，只要开启cookie，每一次会话，session_id都不会改变，我们可以根据session_id来判断用户是否是正常登陆，防止用户伪造session。然后我们也要防止session被劫持，我们可以对session_id进行再一次的加密，防止暴力破解，还有可以设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

下面是代码：

if($_GET['PHPSESSID']){

session_id($_GET['PHPSESSID']);

}

session_start();