session中应该存储哪些信息？

考虑到安全的问题，session（php编程）中应该存储哪些用户信息呢？

回复内容：

考虑到安全的问题，session（php编程）中应该存储哪些用户信息呢？

分开回答：

考虑到安全的问题

首先，session 不涉及到安全问题，session 和 cookie 相比很安全。

session（php编程）中应该存储哪些用户信息

1. session 没有大小限制，所以，可以储存任意数量的数据
2. session 没有类型限制，所以，可以储存任意类型的数据
3. session 没有安全问题，所以，可以储存任意安全级别的数据

好像 session 可以储存任意数据，只是理论上，而且只是「可以」，但是我们讨论的是「应该」。

session 存储和用户会话相关的数据（session 的意思就是会话）。

@皮诺曹 说的

我手头的一个项目，是把模块的信息（属性、菜单、结合权限生成栏目列表）写入SEESION的。

但是这有个大前提是：这些数据是和特定用户相关。张三登录时，菜单是 A、B、C；李四登录时，菜单是 A、D、M，这时数据可以放入 session。

默认情况下SESSION保存在服务器的硬盘中，没有特别的存储长度限制，理论上可以存储任何数据，但并不建议任何数据都保存在SESSION中，原因不说了（考虑一下用户数及其庞大的情况下，每访问一个php文件，就要读取SEESION，特别是SEESION写入内存的情况下。），当然也可以写入memcache，甚至单独的SESSION服务器。

SESSION通常用来保存与用户信息相关的： 1. 身份信息、登陆状态 2. 用户的个性配置、权限列表 3. 其他的一些通用数据（比如购物车）

我通常把通用的、频繁存取的、小数据量的跟用户相关的数据放入SEESION，视场景而定，我手头的一个项目，是把模块的信息（属性、菜单、结合权限生成栏目列表）写入SEESION的。

基于REST考虑，应该放弃采用session，仅保留cookie中的sessionid用于用户识别。 其实上面说的把session放到redis、memcache等做法就是。 把session数据和其他业务数据同等对待。

--补充--
session的最大弊端在于集群环境中的session复制，这导致了对Share-Nothing Architecture的违反，严重拖累性能、可伸缩性。 session只是很小程度上简化了开发，同时也导致了开发人员的懒惰/放弃思考。 放弃session概念，把会话当作其他业务数据对待，根据业务场景设计正确的缓存策略、失效策略、集群存储等。

1. 用 SESSION 的目的是缓存一些用户会话阶段的各种数据，比如头像、用户名、真实姓名、积分等等，所有这些数据都应该是只读操作，在有写操作时以数据库为准。
2. 为防止有 SESSIONID 伪造，SESSION 要有 IP 及其它验证。
3. 为了能实现多 WEB SERVER 下的用户数据一致，SESSION 从保存到本机的文件改为数据库或其它 NoSQL。

除了密码之外的..

session 是服务器端的，又不会直接暴露给用户，存什么都可以啊。

理论上，session 是可以存储任意的数据的； 但是，实际上，我们平常用到的数据有很多都是不用他的，因为session存储的数据是放在服务端的，每一次用到就需要打扰服务器，这是很消耗性能的；所以，session一般用于存储安全性要求比较高的而且数据量不是很大的数据。

session里“能”存的东西并无限制，session里“应该”存的东西是“少一点好”。

用多少取多少，用多少存多少~~

Session和用户的浏览器有关，跟用户的操作行为用关系。我这边经常拿来存放上下文。。
不如发送短信和验证短信两个步骤，
发送短信：记录已发送 xxxx 手机号的 session
验证短信：检验是否有 xxxx 手机号码的 session，校验客户端传送手机号码和 xxxx 是否一致。

完善点还要加上发送短信的实效性问题。繁殖频繁发送短信和校验短信。

其他信息如用户基本资料，个人觉得从 memcache 拿出来会好一点。

session 共享可以用 memcache 来实现，也可以用 nginx 的来实现。。
个人推荐用 nginx，结合 APC 共享内存机制。可以减少服务端的压力