让我们来看看这个：

Cookie和会话都是在浏览器发出的不同请求之间保存应用程序状态的两种方式。多亏了他们，例如，您无需每次在StackOverflow上请求页面时都登录。

饼干

Cookie 是一小段数据（最大长度为 4KB），将数据保存在键=值对中：

name=value; name2=value2

这些是由JavaScript设置的，或者是通过服务器使用HTTP 标头设置的。

Cookie 设置了到期日期，例如使用 HTTP 标头：

Set-Cookie: name2=value2; Expires=Wed, 19 Jun 2021 10:18:14 GMT

这会导致浏览器设置了一个名为cookie的name2使用的valuevalue2，这将在到期大约9年。

Cookie 被认为是高度不安全的，因为用户可以轻松操纵其内容。这就是为什么您应该始终验证 cookie 数据的原因。不要假设您从 cookie 中得到的东西一定是您所期望的。

Cookies 通常用于保存登录状态，其中从浏览器发送用户名和特殊哈希值，服务器根据数据库检查它们以批准访问。

Cookie 也经常用于会话创建。

会话

会话略有不同。每个用户都会获得一个会话 ID，该ID会通过cookie或GET 变量发送回服务器进行验证。

会话通常是短暂的，这使得它们非常适合保存应用程序之间的临时状态。一旦用户关闭浏览器，会话也会过期。

会话被认为比 cookie 更安全，因为变量本身保存在服务器上。这是它的工作原理：

1. 服务器打开一个会话（通过 HTTP 头设置一个 cookie）
2. 服务器设置会话变量。
3. 客户变更页面
4. 客户端发送所有 cookie，以及步骤 1 中的会话 ID。
5. 服务器从 cookie 中读取会话 ID。
6. 服务器从数据库（或内存等）中的列表中匹配会话 ID。
7. 服务器找到匹配项，读取现在可用于$_SESSION超全局变量的变量。

如果 PHP 没有找到匹配项，它将开始一个新会话，并重复 1-7 的步骤。

您可以在会话中存储敏感信息，因为它保存在服务器上，但请注意，如果用户通过不安全的 WiFi 登录，会话 ID 仍然可能被盗。（攻击者可以嗅探cookie，并将其设置为自己的，他自己不会看到变量，但服务器会将攻击者识别为用户）。

这就是它的要点。您可以在 PHP 手册中了解有关这两个主题的更多信息。