想不通为什么CI要把session整个序列化放到cookie里

keeponac

请指教啊。老老实实用php默认session不好吗？

jeongee

你完全可以用啊，CI那样做自然有他的想法，另外HEX也写了一个session类，用的是原声的PHP session，你可以搜索一下

Hex

CI 作者只给了一个理由：为了提高灵活性，但具体他怎么想的，只能问作者了，呵呵

free212

老老实实的用php原生session

songah

php原生session用的也是cookie嘛，那个session的cookie要是被获取，同样有危险。如果cookie加密得很好，应该是没有问题的。也许从流量上来说，确实是用加密的cookie需要发送更多的数据。我觉得就安全性上而言两者差不多吧。

Hex

回复 5# songah


    呵呵，PHP Session 只有 Session ID 是放到 Cookie 中的，所以不存在任何安全隐患。如果没有 Cookie 也可以放到 URL 中。

zeevin

ci的这个问题带来了很多麻烦，其实用cookie存session完全是很傻的行为

Beyoung

因为作者开发的时候，还不会php的session...为了方便

六月峰

首先，cookies 来做session 是为了缓解服务器session文件的IO访问开销，将这一块的服务器压力分散到了各个终端，这个做法也是具有意义的。

其次，为了考虑使用情况的多变性，强制将session 放到cookies确实也不妥当。 故 CI 3.0 将session做了驱动处理，可以再配置文件中手动设置是cookie还是native。更多细节可关注 Github 上官方对 3.0 开发的develop 分支的发展进程。