SESSION一般是用本地文件进行存储的，最近发现我的网站莫名其妙出现几十万个SESSION。

猜想是被另一种攻击刷SESSION造成的，因为SESSION和客户端浏览器一般是用COOKIE进行关联的，如果客户端COOKIE丢失，服务器就会创建一个新的SESSION。

于是某位注册一个账号，采用不存储COOKIE的某样工具，在我网站反复登录，产生大量SESSION占据磁盘空间。现在已经临时限制了登录总量，以后会采用客户端uid+sqlhash校对方式进行登录，避免这种情况出现。

感觉很恶心，除了DDOS、CC、上传攻击以外，各种新形式的攻击都用在我网站上了，就因为我免费发了一些套图坏了他们生意。以后程序把防御用户作为第一要务。