当您将#ID保存为cookie以识别登录用户时，您实际上是在向与他们无关的用户显示数据。此外，如果第三方试图在他们的浏览器中设置随机id作为cookie数据，他们将能够使服务器相信他们是用户，而实际上他们不是。这就是缺乏安全感。

您已经使用了cookie，正如您所说，您已经完成了项目的大部分。此外，cookie具有保留较长时间的特权，而会话结束得更快。所以会话在这种情况下不适合。在现实中，许多著名和流行的网站和服务使用cookie，你可以保持登录很长一段时间。但是如何使用他们的方法来创建更安全的登录过程呢?

here's the idea: you can help the way you use cookies: If you use random keys instead of IDs to recognize logged-in users, first, you don't leak your primary data to random users, and second, If you consider the Random key large enough, It will be harder for anyone to guess a key or create a random one. for example you can save a 40 length key like this in User's browser: "KUYTYRFU7987gJHFJ543JHBJHCF5645UYTUYJH54657jguthfn" and it will be less likely for anyone to create the exact key and pretend to be someone else.

Session和Cookie不是一回事。

会话用于存储来自web页面的信息。通常情况下，网页没有存储这些信息的内存。但是使用我们可以保存必要的信息。

但Cookie是用来识别用户的。使用cookie，我们可以存储数据。它是存储在用户web浏览器中的一小部分数据。当用户下次浏览时，浏览器将cookie数据信息发回服务器，以获取之前的活动。

致谢:Session和Cookie

实际上，session和cookie并不总是分开的。会话通常(但不总是)使用cookie。

你的问题在这里的其他问题中有一些很好的答案。因为你的问题是专门关于保存用户的IDU(或ID)的，我不认为它与其他问题完全相同，但他们的答案应该对你有帮助。

cookie vs会话

缓存VS会话VS cookie ?

会话和Cookie的区别是什么?

区分这两者的基本思路。

会话:

UID存储在服务器端(即服务器端) 更安全(因为1) 过期不能设置，会话变量将在用户关闭浏览器时过期。(现在php默认存储24分钟)

饼干：

UID存储在web浏览器上(即客户端) 不是很安全，因为黑客可以到达并获得你的信息(因为1) 可以设置过期时间(有关详细信息，请参阅setcookies())

当您需要存储短期信息/值时，例如用于计算、测量、查询等的变量时，会话是首选。

当您需要存储长期的信息/值时，例如用户的帐户(这样即使他们关闭计算机2天，他们的帐户仍然会登录)，首选cookie。我想不出很多关于cookie的例子，因为它在大多数情况下都没有被采用。

当您将#ID保存为cookie以识别登录用户时，您实际上是在向与他们无关的用户显示数据。此外，如果第三方试图在他们的浏览器中设置随机id作为cookie数据，他们将能够使服务器相信他们是用户，而实际上他们不是。这就是缺乏安全感。

您已经使用了cookie，正如您所说，您已经完成了项目的大部分。此外，cookie具有保留较长时间的特权，而会话结束得更快。所以会话在这种情况下不适合。在现实中，许多著名和流行的网站和服务使用cookie，你可以保持登录很长一段时间。但是如何使用他们的方法来创建更安全的登录过程呢?

here's the idea: you can help the way you use cookies: If you use random keys instead of IDs to recognize logged-in users, first, you don't leak your primary data to random users, and second, If you consider the Random key large enough, It will be harder for anyone to guess a key or create a random one. for example you can save a 40 length key like this in User's browser: "KUYTYRFU7987gJHFJ543JHBJHCF5645UYTUYJH54657jguthfn" and it will be less likely for anyone to create the exact key and pretend to be someone else.

SESSIONS ENDS WHEN USER CLOSES THEIR BROWSER,

COOKIES END DEPENDING ON THE LIFETIME YOU SET FOR IT. SO THEY CAN LAST FOR YEARS

这是你选择的主要区别，

如果你想让id长时间被记住，那么你需要使用cookie;否则，如果你只是想让网站识别用户的访问，那么只有会话是可行的。

会话存储在php服务器将生成的文件中。为了记住哪个文件是针对哪个用户的，php还将在用户的浏览器上设置一个cookie，保存这个会话文件id，这样在用户下次访问时，php将读取这个文件并重新加载会话。

现在php默认每隔一段时间清除会话，并且会话的命名约定使其自动过期。此外，一旦浏览器关闭或历史记录被清除，浏览器将不会保留保存会话id的cookie。

值得注意的是，现在的浏览器还支持另一种存储引擎，如LocalStorage, SessionStorage和其他webdb引擎，javascript代码可以使用这些引擎将数据保存到您的计算机中以记住您。例如，如果你打开Facebook内部的javascript控制台，并输入“localStorage”，你会看到Facebook使用的所有变量来记住你没有cookie。