http://news.csdn.net/a/20100312/217435.html

Continue reading 【链】Web 地理定位（Geo-Location）知识大全

看源码BorderLayout,BorderLayout.Region这两个类
BorderLayout.Region的getCollapsedEl()方法可获得el
BorderLayout 通过['east']方式获得Region
最后代码类似Panel.getLayout()['east'].getCollapsedEl();
chat右边加tooltip的功能需就是这样实现的。

Continue reading extjs panel折叠条Element的获得

根据官网上的开发指南，按照个人使用习惯，频度等整理的，没啥特别的东西。

笑着--胖胖兰学习笔记iBatis入门

一，       iBatis简介

iBatis是一种数据库持续层的ORM框架。使用简单的XML配置文件将Java Bean映射成PreparedStatement的输入参数和ResultSet结果集。

在不是很复杂的情况下，我们 甚至可以使用HashMap而不是Java Bean来映射PreparedStatement的输入参 数和ResultSet结果集，从而节省开发时间与成本。 或者，我们可以使用一些辅助工具来帮助我们通过XML配置生成对应的Java Bean.

二，       iBatis工作原理,流程

iBatis使用简单的XML描述文件将Java Bean，Map实现和基本数据类型的包装类（String，Integer等）映射成JDBC的PreparedStatement的输入参数 和ResultSet结果集。具体工作流程如下：

1．在sqlMapConfig的XML配置文件中进行数据库连接的配 置，XML配置文件名称任意，比如sql-map-config.xml

2．在sqlMapConfig的XML配置文件中引用sqlMap的XML配置文件

3．在sqlMap的XML配置文件中进行SQL文的配置，文件名称任意， 比如Person1.xml

4．通过SqlMapClientBuilder生成具体的操作sqlMap配置文件中ＳＱＬ文的 ＩＢＡＴＩＳ对象SqlMapClient

5．SqlMapClient对象提供函数，函数的参数 对应替换sqlMap配置文件中的id,parameter等等属性，完成ＳＱＬ文的执 行。具体参照iBatis的API

iBatis的工作重点在于配置文件的 做成上，尤其sqlMap配置文件的做成是我们需要重点学习的。

三，       SqlMapConfig.xml

配置例子如下，各个标签的说 明参考官方文档。比较容易理解，这里不做整理

以上，主要注意DB连接情报的配置方法，采用 了Java的标准Properties文件。

<properties resource=" examples/sqlmap/maps/SqlMapConfigExample.properties " />

       然后在XML中引用properties文 件中的定义。

           <property name="JDBC.Driver" value="${driver}"/>

四，       SqlMap.xml总体印象

较复杂的例子：

      以上例子简化版：

五，       Statement语法，类型，及其属性和特点

1.语法

2.Statement类型，属性，特点

六，       关于映射时输入值的匹配问题

1.     类SqlMapClient如何从SqlMap的配置文件中找到对应的SQL文

通过类函数的参数statementName与配置文件中statement配置的id相匹配

2.     bean中的数据如何映射给SQL文中对应的输入参数

a.     通过参数变量名称与bean中对应属性名称相匹配

b.     通过参数变量的出现顺序相 匹配

3.     map中的数据如何映射给SQL文中对应的输入参数

a.     通过参数变量名称与map中对应key相匹配

4.     基本数据类型的数据如何映 射给SQL文中对应的输入参数

基本数据类型与参数1对1，没啥匹配的问题。不过官 方的开发指南中强调参数要写成#value#这种写法，原因不明。

七，       关于映射时返回值的匹配问题

1.     查询结果如何映射给bean中的对应属性

a.     通过查询结果的字段名称与bean中对应属性名称相匹配

b.     指定查询结果的字段名称与bean中对应属性名称的映射关系

以上，数据类型通过反射与对 应的属性类型自动匹配，极少数时候可能需要通过resultMap的javaType属性进行设定，参考后面关于Result Map外部形式中各个参数的说明

2.     查询结果如何设定给Map

a.     通过查询结果的字段名称与map中对应key相匹配

b.     指定查询结果的字段名称与bean中对应属性名称的映射关系

与bean基本相同，参考使用bean作为返回结果的写法

3.     查询结果如何映射给基本数 据类型

只能指定一个返回值，名字可 以随便，一般采用value,val等

八，       关于Parameter Map外部形式中各个参数的说明

      一个完整的例子

      简化写法

九，       Result Map外部形式中各个参数的说明

十，       复杂类型属性说明

1．关于复杂类型属性的例子

         避 免N＋1 Select（1:1）  

2．关于复杂类型级和属性的例子

         避 免N＋1 Select（1:1）  

3．组合键值或多个复杂参数属性

十一，   在查询statement中指定cacheModel属性

十二，   动态Mapped Statement

1．二元条件元素

二 元条件元素将一个属性值和一个静态值或另一个属性值比较，如果条件为“真”，元素体的内容将被包括在查询SQL语句中。

二元条件元素的属性：

prepend － 可被覆盖的SQL语句组成部分，添加在语句的前面（可选）

property － 被比较的属性（必选）

compareProperty － 另一个用于和前者比较的属性（必选或选择compareValue）

compareValue － 用于比较的值（必选或选择compareProperty）

2．一元条件元素

一 元条件元素检查属性的状态是否符合特定的条件。

一元条件元素的属性：

prepend － 可被覆盖的SQL语句组成部分，添加在语句 的前面（可选）

property － 被比较的属性（必选）

3．其他元素

Parameter Present：这些元素检查参数对象 是否存在。

Parameter Present的属性：

prepend － 可被覆盖的SQL语句组成部分，添加在语 句的前面（可选）

4．Iterate：这属性遍历整个集合，并为List集 合中的元素重复元素体的内容。

Iterate的属性：

prepend － 可被覆盖的SQL语句组成部分，添加在语句的前面（可选）

property － 类型为java.util.List的用于遍历的元素（必选）

open － 整个遍历内容体开始的字符串，用于定义括号（可选）

close －整个遍历内容体结束的字符串，用于定义括号（可选）

conjunction － 每次遍历内容之间的字符串，用于定义AND或OR（可选）

一，       注 意事项

1.关于特殊字符

因为SQL语句是嵌在XML文档中的， 因此有些特殊的字符不能直接使用，例如大于号和小于号（<>）。幸运的 是，解决的办法很简单，只需将包含特殊字符的SQL语句放在XML的CDATA区里面就可 以了。例 如：

2.关于多个SqlMap.xml 中id冲突问题

问题描述：

当sql-map-config中引用多个sqlmap.xml，多个sqlmap.xml中存在相同的statementname的时候，ibatis如何判断当前我准备使用哪 一个sqlmap.xml中的statementname对应的sql语句

       解决方法：

在SqlMapConfig.xml中的settings标签中存在一个属性useStatementNamespaces当这个设定 为true的时候，那 么iBatis通过SqlMap.xml的namespace.id来查找对应 的sql文id，从而避免 这个问题。

二，       其他

1.自动生成的主健

2.调用存储过程

十五，   Sample

1.java类，生成iBatis数据库操作对象

2．配置文件:略

Continue reading 【转】笑着学习笔记iBatis入门

1.       Change the configuration file of MySQL. (MySQL can’t identify some incorrect strings of the .csv file we want to load, so that we have to change the setting of MySQL)

l         Open your "my.ini" file within the MySQL installation directory, and look for the text "sql-mode". Find:

l         Add the following code to “my.ini” file

2.       Download the .csv files and unzip it:

Note: Actually, there is one database named GeoLiteRegion, which doesn’t have free version right now. So we didn’t choose to use it.

3.       Use MySQL Workbench to load the unzipped .csv files to database

l         According to the number of columns of the .csv file, we need to create the corresponding table and give a name to each column.

l         After the table has been established, we can use the following command to automatically load the data :

If you guys are still confusing about the code above, you check the following websites out:

http://forums.mysql.com/read.php?79,219901,219901
http://www.tech-recipes.com/rx/2345/import_csv_file_directly_into_mysql/

建议使用dat文件读取。

Continue reading 【转】Instruction about how to load “.csv” file into MySQL

版本:3.2.1,主要使用在BannerAdmin上：

1：使用store要注意：
一般使用record.beginEdit, set,endEdit,---(update event)-->commit/reject的步骤来更新/还原数据，直接修改record的data的值不会触发update等事件，估计这样的话reject也不会起作用。
2：EditGrid的默认selmode是CellSelectModel.CheckColumn是在ux包里面的。发现直接修改CheckColumn绑定的record.data后，会反映在CheckColumn上。
3：EditGrid要支持拖拽的话，还要改代码:[见cm.js]
Ext.override(Ext.grid.GridPanel, {
               getDragDropText : function() {
                   var sm = this.selModel;

                   var count;
                   if (sm instanceof Ext.grid.CellSelectionModel) {
                       count = 1;
                   } else {
                       count = sm.getCount();
                   }
                   return String.format(this.ddText, count, count == 1
                                   ? ''
                                   : 's');
               }
           });
   Ext.override(Ext.grid.GridDragZone, {
               getDragData : function(e) {
                   var t = Ext.lib.Event.getTarget(e);
                   var rowIndex = this.view.findRowIndex(t);
                   var cellIndex = this.view.findCellIndex(t);

                   if (rowIndex !== false) {
                       var sm = this.grid.selModel;

                       // RowSelectionModel
                       if (sm instanceof Ext.grid.RowSelectionModel) {
                           if (!sm.isSelected(rowIndex) || e.hasModifier()) {
                               sm.handleMouseDown(this.grid, rowIndex, e);
                           }
                           return {
                               grid : this.grid,
                               ddel : this.ddel,
                               rowIndex : rowIndex,
                               selections : sm.getSelections()
                           };
                       }

                       // CellSelectionModel
                       if (sm instanceof Ext.grid.CellSelectionModel) {
                           sel = sm.getSelectedCell();

                           rowAlreadySelected = sel && sel[0] == rowIndex;

                           if (!rowAlreadySelected || e.hasModifier()) {
                               sm.handleMouseDown(this.grid, rowIndex,
                                       cellIndex, e);
                           }

                           store = this.grid.getStore();
                           sel = sm.getSelectedCell();
                           if (sel)
                               return {
                                   grid : this.grid,
                                   ddel : this.ddel,
                                   rowIndex : rowIndex,
                                   selections : [store.getAt(sel[0])]
                               };
                           else
                               return {
                                   grid : this.grid,
                                   ddel : this.ddel,
                                   rowIndex : rowIndex,
                                   selections : []
                               };
                       }
                   }
                   return false;

               }
           });

Continue reading extjs grid使用总结

ie5就开始支持gzip了[待考证,反正ie6是支持的]

传统的JS压缩(删除注释,删除多余空格等)提供的压缩率有时还是不尽不意, 幸亏现在的浏览器都支持压缩传输(通过设置http header的Content-Encoding=gzip),可以通过服务器的配置(如apache)为你的js提供压缩传输,或是appfuse中使 用的GZipFilter使tomcat也提供这种能力

现在的问题是这种动态的压缩会导致服务器CPU占用率过高,现在我想到的解决辨法是通过提供静态压缩(就是将js预先通过gzip.exe压缩 好)

一.下面描述在tomcat中的应用
httpServletResponse.setHeader("Content-Encoding", "gzip");//主要是这一句，但是如果仅仅加个header,让容器自己输出的话，没有起作用，返回流的头部还是没有gzip信息,所以还得自己负责返回文件流，这个又加重了服务端cpu,但是减少了带宽。
对于chrome,还要返回Content-Type,否则会被忽略
httpServletResponse.setHeader("Content-Type", "text/plain");//这只对于非图片类型

对于safari,直接.gz为扩展名的它处理有问题，要改成别的如.jgz

1.将prototype.js通过gzip.exe压缩保存成prototype.gzjs
2.设置header,我编写了一个简单的AddHeadersFilter来将所有以gzjs结尾的文件增加设置header Content-Encoding=gzip
web.xml中的配置

测试prototype.js是否正常的代码

在Apache httpd中可以直接通过在httpd.conf增加AddEncoding x-gzip .gzjs来映射.gzjs文件的header

二.相关压缩率数据
1. prototype.js 1.5.0_rc0原始大小56KB,未经任何处理直接使用gzip压缩为12KB,总压缩率79%
2. 通过js压缩工具压缩过的protytype.js为20KB,使用gzip压缩为10KB,总压缩率为83%
3. 实际项目中的多个js合并成的文件 439KB,直接通过gzip压缩为85KB,总压缩率81%
4. 439KB经过js压缩为165KB,再经过gzip压缩为65KB,总压缩率86%

基本上你都可以忽略js压缩工具的压缩率,直接使用gzip压缩

gzip下载地址 http://www.gzip.org
tomcat的压缩配置示例下载地址: http://www.blogjava.net/Files/badqiu/gziptest.rar

==================================================================

Wordpress之终极Gzip兼容IE6

为了这Gzip我可没有少费功夫啊，之前我已经写过三篇文章《开启GZIP，提速 Wordpress》、《给Wordpress开启Gzip 功能》、《完美启用Gzip压缩JS、 CSS》，三篇文章三个方法，各有特色，一直以来我是将这三个Gzip结合使用的，但是始终没有达到我期望的最佳效果，因为启用后就不得不放弃 IE6的用户。这一bug让我在使用Gzip时很尴尬，之后我也试过给浏览器设置白名单，希望IE6跳过Gzip，最后以失败告终。不过今天终于让我找到 一个可以兼顾IE6的开启Gzip的方法，让我的Wordpress载入速度又上了一个台阶。特地将此方法转载来和大家分享，因为原文是繁体，我就简化了 一下：

1、下载gzip.zip， 解压后上传至网站根目录。

2、修改根目录的.htaccess，增加gz的识别支援及网址改写：

3、浏览自己的网站，让CSS和JS产生gz档，并将相应的.gz文件权限设置为777。

4、最后，再次改写.htaccess，把以下代码注释掉或删除。

完毕。此Gzip方法是至今我最满意的，效果最显著的，强烈推荐。不过在修改CSS和JS后，还要还原那句代码并重做第3、4步。所以该方法稍 有些复杂，比较适合像我一样喜欢折腾Wordpress的童鞋们。

给 Wordpress 开启 Gzip 功能

曾经我为了给 Wordpress 开启 Gzip 功能真是煞费苦心，但最终还是成功了，并写下日志《开启GZIP，提速 Wordpress》分享给大家。据willin的反馈，他使用该方法感觉 不错，但是我自己用这个方法却发现主题在IE6下裸奔了，至今没有找到问题的根源，之后只好弃用了该方法。郁闷～

但是我一直没有放弃对开启 Gzip 的追求，皇天不负有心人，终于让我找到了两个给 Wordpress 开启 Gzip 的方法，且比在《开启GZIP，提速 Wordpress》中提到的方法更简单，更实用，也没有在 IE6 下裸奔的现象，值得推荐。至于什么是 Gzip、如何检测网站是否开启 Gzip 功能等问题本文就不多作熬述了，欲知答案请移步《开启GZIP，提速 Wordpress》。下面马上切入正题：

方法一：

gzippy 插件。

这对于懒人或者菜菜们来说是个福音和首选，这个插件解压后也不足2K，可谓短小精悍，且上传安装之后也无需另外设置，很方便实用。

下载地址：http://wordpress.org/extend/plugins/gzippy/

方法二：

定义 php.ini。

新建一个名为 php.ini 的文件，输入以下内容，保存并上传至网站根目录即可。

因为本人对插件有抵触情绪，能 用代码搞定的就绝不用插件解决！所以我现在用的是方法二，压缩率达到73%，还是比较让人满意的。现在我的 YSlow 成绩又回到了 Grade B，真要感谢 Gzip 的压缩功能啊.

完美启用Gzip压缩JS、CSS

这已经是我自《开启GZIP，提速 Wordpress》和《给Wordpress开启Gzip 功能》两篇文章后第三次介绍Wordpress中的Gzip功能，而这三篇中所涉及的Gzip又各有不同，可以结合实用。在《给Wordpress开启Gzip 功能》中提到的Gzip功能很简单，但是只对Wordpress输出的html进行压缩，所以效果有限。而这篇文章提及的Gzip功能将对 Wordpress中的重头戏JS和CSS进行压缩，这将使Wordpress的载入速度达到一个质的飞跃！

1、把模板目录下的style.css复制一份出来，命名为style.css.php，接着在style.css.php顶部加入这句：

在最后加上下面代码：

2、按照下面的方式修改header.php中的css连接

原来的：

修改后的：

这样，你的CSS就被Gzip压缩了，同样的方法可以压缩你的JS。只是在JS的顶部加入的是如下代码：

说说我自己使用Gzip压缩后的效果吧，在《开启GZIP，提速 Wordpress》中我就提到，根据YSlow的要求，其中Compress components with gzip这项，我的得分仅为F，严重地影响了小站的整体评级。开启Gzip之后，我再用YSlow去检测，现在我的得分是Grade A！再贴个图让各位有个直观的理解，看看我的JS和CSS减了多少肥吧。JS和CSS的大小从102.1K直降到33.8K，足足减少了三分之二的文件大 小，如果你有用prototype.js这样的大型JS，那压缩之后的效果就更可观了。！

开启此Gzip功能比《给Wordpress开启Gzip 功能》中提到的Gzip要复杂的多，因为要对所有JS和CSS一一修改，且要找到并修改调用该JS和CSS的代码，如果你还是刚刚踏入 Wordpress大家庭的小菜菜，那我还是建议你用《给Wordpress开启Gzip 功能》中的插件或php.ini来实现Gzip。

最后友情提醒一下，因为使用此Gzip，需要修改比较多的文件和代码，所以记得备份哟，如果做错也好有个挽回的余地。

开启GZIP，提速Wordpress

今天我用FireFox的YSlow组件对小站进行了评测，结果仅为Grade C，实在是差强人意。虽然自认为本站的速度已经算是很不错了，话说自从换了小张童鞋的息壤主 机后，小站的速度也是突飞猛进，但是为了满足小小的虚容心和完美主义性格，Grade C的结果在我看来是不合格的，我的目标是Grade A！我需要优化、优化、再优化，提速、提速、再提速！

根据YSlow的要求，其中Compress components with gzip这项，我的得分仅为F，严重地影响了小站的整体评级。本文也就重点谈谈如何开启GZIP压缩网页从而给Wordpress提速。

三言两语先简单介绍下GZIP功能，我G来的。GZIP功能可以大幅度地压缩CSS、JS之类的文本型文件，压缩率达60％－90％，挺可观 的。GZIP压缩功能在Wordpress2.3-2.5版本里都是自带的，之后就没有了，我现在用的是Wordpress2.7.1，就更没有这个功能 了。那如何手动开启Wordpress2.7+的GZIP功能呢？

在开始之前，我们先做点准备工作，你也可以用YSlow查一下你的网站评级，然后登陆http://www.whatsmyip.org/mod_gzip_test/检测一下你的网站是否已经开 启了GZIP，等事后可以作个比较。下面是我开启GZIP之前的测试截图。

废话到此为止，进入正题。

1.开启GZIP功能。在根目录下的index.php找到

在其后插入如下代码：

2.在.htaccess里面加上RewriteRule (.*.css$|.*.js$) gzip.php?$1 [L]

如果你那可怜的主机不支持.htaccess可写，很遗憾，你就不用往下看了。

3.压缩CSS和JS文件。你可以复制以下代码保存为gzip.php，或者点此下载我的gzip.php文件，下载解压之后上传至根目录即可。让所有的CSS和JS文件访问就以相对根目 录的路径以GET变量传递到了gzip.php，交给gzip.php来全权处理了。

  搞定，再去http://www.whatsmyip.org/mod_gzip_test/检 测一下你的网站是否已经开启了GZIP，如果上述步骤都操作正确，那测试结果应该如下图所示。

既然已经对CSS和JS文件压缩了，那我们再用YSlow来评测一下等级。Oh耶！我的小站从Grade C上升到Grade B了，不过说实话，虽然把CSS和JS文件压缩了72％，但并没有很明显地提速，因为本来就已经够快的了，哈哈。

说些题外话，根据YSlow的要求，我的小站要从Grade B上升到Grade A怕是有些难度了。因为首页上加载了两个Flash，还有5个JS，拖慢了不少速度，等会有时间我研究下把这5个JS合并，或许会好些吧。我又查了下新 浪、网易、搜狐这样的大型门户网站，也不过Grade B甚至Grade C，我心理平衡一下，嘿嘿。

Continue reading gzip系列

1 概述
系统应用集成中一般对各系统中数据分为两类

操作型数据：它 有细节化，分散化的特点

决策型数据：它 有综合化，集成化的特点

数据仓库概念的提出也把数据处理划分为了操作型处 理和分析型处理两种不同类型，从而建立起了DB-DW的两层体系结构。但是有很多情况，DB-DW的两层体系结构并不能涵盖企业所有的数据处理要求,比如 有些实时性决策问题,它要求获取数据周期不能太长,而且也需要一定程度的汇总。这样的问题可以借助于DB-DW的中间层ODS（操作数据存储）来解决。它 象DW一样是一种面向主题，集成的数据环境，又象操作型DB一样包含着全局一致的，细节的当前的数据。我们看下常用的几种系统应用集成需求：

我要了解企业目前的运转情况！（实时监控）

我要知道某地区近5年内的销售情况以制定未来的发展策 略！（决策支持）

我要知道哪些是值得发展的优质的顾客！（预测）

提供企业内部和外部的有用信息以支持中期或远期决策

提供事实的全局信息进行实时监控与临时决策

要满足上面所有的需求,不管是传统的OLTP系统 还是已经集成的数据仓库,都是很难完成任务的。由于这些原因，ODS应运而生。ODS可以看做是围绕主题进行动态整合的一种应用型体系结构,它有如下一些 特点：

从应用子系统获取数据

提供几乎精确到每秒的企业整体应用状态

数据一旦过期就将转入DW

实时决策与预警提示

使用者多为前端业务人员

    2 DW与ODS比 较:

图1 ODS+DW方案

    4 三种类型的ODS:

类型一：以几秒为间隔的更新（非常贵、不常用、数 据整合能力弱）

类型二：以约1小时为间隔的更新（常用、数据整合 能力较强）

类型三：以约1天为间隔的更新（常用、数据整合能 力较强）

ODS技术的引入和应用，为企业在日常经营中进行 即时OLAP提供了一种解决方案使得企业无须建立一个“臃肿”的DW，就可以进行一些非战略性的的中层决策，来实现对企业的日常管理和控制，同时也能获得 较快的响应速度

Continue reading 数据仓库(DW)与操作型数据存储(ODS)

extjs GridPanel 使用jsonstore的load来加载远程数据：

Ext.onReady(function() {
           var store = new Ext.data.JsonStore({
                       url : 'getRes.ax',//远程加载
                       root : 'rows',//告诉store,server返回json数据rows是本页的记录数组
                       totalProperty : 'count',//告诉store,server返回json数据中count表明总共记录数
                       remoteSort : true,//远程排序
                       fields : [{
                                   name : 'id',
                                   type : 'int'
                               }, {
                                   name : 'actived',
                                   type : 'bool'
                               }, {
                                   name : 'selected',
                                   type : 'bool'
                               }, {
                                   name : 'value',
                                   type : 'string'
                               }],
                       listeners : {
                           beforeload : function() {
                            //beforeloadr事件是添加参数的最好途径
//这里可以添加查询条件   
                               // can add the filter params at here
                               // store.setBaseParam('selected:bool',true);
                               // store.setBaseParam('actived:bool',true);
                               store.setBaseParam('ps', Ext.encode({
                                                   'selected' : true,
                                                   'actived' : true
                                               }));
//结合pagingtoolbar使用时，每次的分页排序，会向serversrvr传参数start[开始的行数],limit[需要的行数],sort[排序的字段],dir[排序方向]。


                           }
                       }
                   });

           var PAGESIZE = 2;

           var grid = new Ext.grid.GridPanel({
                       store : store,
                       bbar : new Ext.PagingToolbar({
                                   store : store,
                                   displayInfo : true,
                                   pageSize : PAGESIZE
                               }),
                       columns : [{
                                   header : 'actived',
                                   sortable : true,
                                   dataIndex : 'actived'
                               }, {
                                   header : 'selected',
                                   sortable : true,
                                   dataIndex : 'selected'
                               }, {
                                   header : 'value',
                                   sortable : true,
                                   dataIndex : 'value'
                               }],
                       columnLines : true,
                       viewConfig : {
                           forceFit : true,
                           emptyText : 'No data available'
                       },
                       stripeRows : true,
                       header : false
                   });

           store.load({
                       params : {
                           start : 0,
                           limit : PAGESIZE
                       }
                   });

           var vi = new Ext.Viewport({
                       layout : 'fit',
                       items : grid
                   });

           vi.show();
       });

Continue reading extjs 分页排序

http://freeman983.iteye.com/blog/532558

Continue reading 【链】软件过程开发方法(RUP、AP、MP、HP)

通过这篇文章，可以发现通常所用的session,cookie多么的不安全！但是也不要杯弓蛇影，关键是要依据情景来制定策略!

见互动的文章

session fixation attacks(固定session攻击)

就是要注意，cookie是可以被客户端改动的，也可能客户端开启了第三方cookie,也是可能被窃听的。

那么什么情况下会被入侵：

信任cookie的值：例如用其（固定的值）直接作为登陆凭证，例如被它做了sql注入--安全的做法是：cookie保存随机值，或是加密的用户名密码。你也许会想，加密的用户名密码还不是可以放到修改的cookie里面--是的，但是hackerr怎么得到这个用户名密码？一：它安装木马---这个就不是web程序的原因了，要怪就怪用户自己染上木马。二：用户自己就是hacker,有这个程序的用户名密码--那还费什么劲搞hack,直接输入用户名密码登陆不就得了。（我就是犯了这个牛角尖）

未经加密的http通信中cookie和基于cookie的session都是不安全的，不要用cookie存储机密信息。sessionid这类机密信息应该设置为安全,cookie.setSecure(true);可惜java servlet是没有设置jsession为true的。

不过可以这样:

final HttpSession session = httpRequest.getSession(false);
        if (session != null) {
            final Cookie sessionCookie = new Cookie("JSESSIONID",
session.getId());
            sessionCookie.setMaxAge(-1);
            sessionCookie.setSecure(false);
            sessionCookie.setPath(httpRequest.getContextPath());
            httpResponse.addCookie(sessionCookie);
        } 

话说回来，一个没有使用ssl的站点，加密cookie又有什么用呢？即使监听者获取不了jsessionid之类的cookie,但是他可以看到明文的http内容,他就不需要去猜什么用户名密码之类的。

这样说来还是看安全定位，确实很重要的传输，还是使用ssl吧。

在ssl中还要注意sessionid的安全性:

1. 一些程序在一些HTTP页面就发送一个令牌，然后再登录页面开始使用https，并且登录时也不修改此令牌，结果最初并未通过验证的用户会话在登录后被升级为通过验证的会话。窃听者可以在登录前就拦截到这个令牌。所以为了提高安全性，程序可以在登录的时候发送令牌或发送一个新令牌。
2. 程序容许通过HTTP登录，如果攻击者成功将用户的链接降级为HTTP，他仍然能够拦截这个令牌。
3. 如果所有的页面都是用HTTPS，但图片和一些js，css等的静态文件是使用HTTP传输。这时如果静态文件和登录等页面时在同一个域下，令牌也会通过HTTP泄露。所以将静态文件使用别的域好处是很多的。

CAS的TGC(cookie)还是要配合SSL来保证安全的(这样看来CAS这方面还是有缺陷。)，它的TGC一旦被窃听，就会被利用。

总结一下，一般没有加密的http内容都是可以被窃取的，这种情况下，session,cookie,内容等都不是安全的。如果想要提高安全，就是用ssl吧，无论从经济，技术复杂度，架构复杂度来说，都是划算的。但是不是使用了ssl就万事大吉，仍然需要做些防范来保证session令牌的安全性。

参见文章:

安全的session管理  http://kazge.com/archives/500.html

session 和 cookie 到底有什麼差別？安全性  http://bbbb7787.blogspot.com/2010/10/session-cookie.html

提高session的安全性(这是对《黑客攻防技术宝典-web实战篇》一书的概括，建议看看这本书) http://hi.baidu.com/billdkj/blog/item/e72ce5257cf93d6b35a80fc2.html

Continue reading web安全中的cookie欺骗以及session的安全性