禁用COOKIE后SESSION还能用吗

1.ASP

       在ASP中，Session必须倚赖Cookie才可用，Session是存储在服务器端的，而Cookie是存储在客户端的，相对
而言，Session的安全性和可靠程度都比Cookie高。
2.PHP

       在PHP中，通过相关的配置，可以让Session不依赖Cookie而存在。
    php.ini中，把session.use_trans_sid设成1,那么连接的后面就会自己加sessionid，就通过url来传递
session的key了，这时客户端就算禁止了cookie也可以使用session

    这是因为：
       Session，储存于服务器端（默认以文件方式存储Session），根据客户端提供的Session ID来得到用户的文
件，取得变量的值，Session ID可以使用客户端的Cookie或者Http1.1协议的Query_String（就是访问的URL的“
?”后面的部分）来传送给服务器，然后服务器 读取Session的目录

最后说明：
php.ini 中 SESSION 的配置
session.use_only_cookies = 1; // 开启仅使用cookies存放会话id
session.use_trans_sid = 1; // 允许SessionID通过URL明文传输

在这种情况下虽然已经允许了SessionID通过URL明文传输，担是同时又开启了仅使用cookies存放会话SessionID，所以在URL中明文传输的PHPSESSIONID参数值是无效的，SESSION不能用。
php.ini 中 SESSION 的配置
session.use_trans_sid = 0; // 禁止SessionID通过URL方式明文传输

SESSION 不能用， 这是最这安全的做法，也是php.ini 的默认配置

Session机制
    Session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是散列表）来保存信息。当程序需要为某个客户端的请求来创建一个session的时候，服务器首先检测这个客户端的请求里是否已经包含了一个session标识-称为session_id，如果包含则说明以前已经为此客户端创建过session，服务器就按照session_id把这个session检索出来使用（如果检索不到，可能为新建一个），如果客户端请求不包含session_id，则为客户端创建一个session并且生成一个与此session相关联的session_id，这个session_id将在本次响应中返回给客户端。