session

现在我们可以在 IDEA 下 新建一个 Hibernate 项目 ，接着上次内容这次主要总结一下 Hibernate 的 Session，及其核心方法。 Session 概述 Session 接口是 Hibernate 向应用程序提供的操纵数据库的主要接口，提供了基本的 保存、更新、删除和加载 java 对象的方法 Session 具有一个缓存，位于 缓存中的对象称为持久化对象 ，和数据库中的相关记录对应 Hibernate 将对象分为 4 种状态，持久化状态，临时状态，游离状态，删除状态， Session 特定的方法可以使对象从一个状态到另一个状态。 Session 缓存 Session 接口实现中包含一系列 java 集合，这些 java 集合构成了 Session 缓存，只要 Session 实例没有结束生命周期，且没有清理缓存，则存放在他缓存中的对象也不会结束生命周期 Session 缓存可以减少 Hibernate 访问数据库的频率 操作 Session 缓存 reflush(): 会强制发送 sql查询（select）语句 ，使缓存中的数据和数据库中的数据保持一致， 数据由数据库到缓存 flush(): 会强制发送 sql更新（update）语句 ，使数据库中的数据和缓存中的数据保持一致， 数据由缓存到数据库 当程序执行 Transaction 的 commit()

Session Session是Hibernate向应用程序提供操作数据的主要接口， 他提供了保存、更新、删除、加载Java对象的方法。 Session的缓存 Session有一个缓存，用来缓存Java对象。 一般的数据库操作，都要从先从Session的缓存中获取，如果缓存中获取不到，hibernate才会去数据库中获取。 缓存的作用 缓存的作用不言而喻。 1、减少数据访问的频率。2、保持保证数据相关记录与缓存中的同步。 清理缓存 Session的save、update、delete方法， 只有在清理缓存的时候才向数据库中执行一条Sql语句。 所以， Session清理缓存的时间点，是个关键概念。 Session会在一下几个时间点清理缓存，并执行相关语句： a、当应用程序调用 org.hibernate.Transaction 的 commit() 方法的时候， commit() 方法先 清理缓存，然后再向数据库提交事务。 b、当应用程序通过 Hibernate 的 Query查询接口等执行查询操作 时，如果缓存中持久化对象的属性发生了变化，就会先清理缓存，以保证查询结果能反映持久化对象的最新状态。 c、当应用程序显式调用 Session 的 flush() 方法的时候。 Java对象在Hibernate中的状态 介绍缓存的方法之前，先介绍一下java对象在缓存中的几种状态

三种状态的基本概念： 1。 临时身份（Transient）：也被称为自由状态，它只存在于内存中，并且在数据库中没有相应的数据。 使用new创建的对象，久化，没有处于Session中，处于此状态的对象叫暂时对象； 2， 持久化状态（Persistent）：与session关联而且在数据库中有对应数据。 已经持久化。增加到了Session缓存中。如通过hibernate语句保存的对象。处于此状态的对象叫持久对象； 3， 游离状态（Detached）：持久化对象脱离了Session的对象。如Session缓存被清空的对象。 特点：已经持久化，但不在Session缓存中。 处于此状态的对象叫游离对象； ×√ 暂时状态 （Transient） 持久化状态 （Persistent） 游离状态 （Detached） 是否处于Session缓存中 × √ × 数据库中是否有相应记录 × √ √ 游离对象和暂时对象异同： 两者都不会被Session关联，对象属性和数据库可能不一致； 游离对象有持久化对象关闭Session而转化而来，在内存中还有对象所以此时就变成游离状态了； Hibernate和SQL的关系： 在操作了hibernate的方法如save()等后。并没有直接生成sql语句，去操作数据库。而是把这些更新存入Session中。仅仅有Session缓存要被更新时，底层的sql语句才干运行

来源： https://www.cnblogs.com/ladybug7/p/12523516.html

1.Tomcat的session管理 在请求过程中首先要解析请求中的sessionId信息，然后将sessionId存储到request的参数列表中。 然后再从request获取session的时候，如果存在sessionId那么就根据Id从session池中获取session， 如果sessionId不存在或者session失效，那么则新建session并且将session信息放入session池，供下次使用。 2.session replication和session sticky session是存在服务器端的，多台服务器集群时， session replication 策略是复制会话，即一个用户访问了一次就把session复制到所有的服务器或这一部分服务器。 session sticky策略则是不复制，一个用户访问了一次后，同一个session周期内，所有的请求都定向到这个服务器。 3.使用Memcached Session Manager管理session 所有的tomcat节点需要安装memcached-session-manager，每一个tomcat会有自己的本地session,当一个请求执行完毕之后，如果对应的session之前不存在（也就是说这是某个用户的第一次请求），则将该session拷贝一份副本至memcached缓存，当该session的下一个请求到达时

参考：https://mp.weixin.qq.com/s/-IkNyo1h4FSmPP9EUPS_5A cookie 是不可跨域的： 每个 cookie 都会绑定单一的域名，无法在别的域名下获取使用，一级域名和二级域名之间是允许共享使用的（靠的是 domain） Cookie 的名称及相对应的值，都必须是字符串类型 maxAgecookie 失效的时间，单位秒。如果为整数，则该 cookie 在 maxAge 秒后失效。如果为负数，该 cookie 为临时 cookie ，关闭浏览器即失效，浏览器也不会以任何形式保存该 cookie 。如果为 0，表示删除该 cookie 。默认为 -1 expires过期时间，在设置的某个时间点后该 cookie 就会失效 secure该 cookie 是否仅被使用安全协议传输。安全协议有 HTTPS，SSL等，在网络上传输数据之前先将数据加密。默认为false httpOnly****如果给某个 cookie 设置了 httpOnly 属性，则无法通过 JS 脚本 读取到该 cookie 的信息，但还是能通过 Application 中手动修改 cookie，所以只是在一定程度上可以防止 XSS 攻击，不是绝对的安全 ============== session 是基于 cookie 实现的，session 存储在服务器端，sessionId

隔离性 mysql提供了4种不同的隔离级别以支持多版本并发控制(MVCC) 较低级别的隔离通常可以执行更高的并发,系统的开销也更低 read uncommited(未提交读) read commited(提交读) repeatable read(可重复读) serializable(可串行化) 默认repeatable-read 建议最好不要修改默认的隔离级别,修改隔离级别会对mysql复制产生影响 isolation-table.sql DROP TABLE IF EXISTS transaction_test; CREATE TABLE transaction_test( id INT UNSIGNED NOT NULL AUTO_INCREMENT, val VARCHAR(20) NOT NULL, created TIMESTAMP NOT NULL DEFAULT CURRENT_TIMESTAMP, PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET latin1; #初始化数据 insert into transaction_test(val) values ('a'),('b'),('c'); 1.REPEATABLE-READ(可重复读) 解决了脏读问题.该级别保证了在同一事物中多次读取同样的记录结果是一样的

PHP对session对象的封装的很好，根据HTTP协议，每个范围网站的访客都可以生成一个唯一的标识符 echo session_id(); //6ed364143f076d136f404ed93c034201<br /> 　　 这个就是统计在线人数的关键所在，只有有这个session_id 也就可以区分访问的人了。因为每一个人都不同。 接下来，是怎么把session变量里面的值存到数据库里面去，这里有将介绍另一个函数 bool session_set_save_handler ( callable $open , callable $close , callable $read , callable $write , callable$destroy , callable $gc ) //callable 可随时支取的，请求即付的，随时可偿还的 // open(string $savePath, string $sessionName) 打开连接 //close() 关闭连接 //read(string $sessionId) 对出数据 //write(string $sessionId, string $data) //写入数据 //destroy($sessionId) //删除数据 //gc($lifetime) //垃圾回收函数 　　 注意，上面有几个函数是有参数传入的

一. 基础概念 URI - 包括URL和URN 请求和响应报文 请求报文： 响应报文： 二. Http方法 客户端发送的请求报文为第一行，包含了方法字段。 GET - 获取资源，当前网络请求中，绝大部分是GET方法 HEAD - 获取报文首部，主要用于确认URL的有效性和资源更新的日期时间等 POST - 传输实体主体，POST主要用来传输数据，GET主要用来获得资源 三. HTTP状态码 1XX 信息： 100 Continue 表示到目前为止都很正常，客户端可以继续发送请求或忽略这个响应。 2XX 成功：200 OK 204 No Content: 请求已经成功处理，但是返回的响应报文不包含实体的主体部分。一般在只需要从客户端往服务器发送信息，而不需要返回数据时使用。 206 Partial Content: 表示客户端进行了范围请求，响应报文包含由Content-Range指定范围的实体内容。 3XX 重定向：301 Moved permennantly 永久性重定向 302 Found 临时性重定向 304 Not modified 如果请求报文首部欧包含一些条件，例如：If-Match, If-Modified-Since, 如果不满足条件，则服务器会返回304状态码。 具体解释：在客户端向服务端发送http请求时，若返回状态码为304 Not Modifiied

本文由红日安全成员： ruanruan 编写，如有不当，还望斧正。 大家好，我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享，还包含一个HTB靶场供大家练习，我们给这个项目起了一个名字叫 Web安全实战 ，希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法（手工测试，工具测试）-靶场测试（分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场全部涵盖）-实战演练（主要选择相应CMS或者是Vulnhub进行实战演练)，如果对大家有帮助请Star鼓励我们创作更好文章。如果你愿意加入我们，一起完善这个项目，欢迎通过邮件形式（sec-redclub@qq.com）联系我们。 1.会话安全概述 1.1 什么是会话 session会话机制是一种服务器端机制，它使用类似于哈希表（可能还有哈希表）的结构来保存信息。当程序需要为客户端的请求创建会话时，服务器首先检查客户端的请求是否包含会话标识符（称为会话ID）。如果包含它，它先前已为此客户端创建了一个会话。服务器根据会话ID检索会话（无法检索，将创建新会话），如果客户端请求不包含会话ID，则为客户端创建会话并生成与会话关联的会话ID。 session id应该是一个既不重复也不容易被复制的字符串。会话ID将返回给客户端以保存此响应。 1.2常见会话问题 1.2