PHPでのセッションの使用

転載元: http://www.openphp.cn/blog.php?blog_id=10

Session は、Cookie と比較して、ストレージを持たず、比較的安全なサーバー側に保存されるセッションですCookie のような長さ制限 この記事では、Session の使用方法を簡単に紹介します。

セッションはテキストファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。

Cookieについては、ユーザーがログインしているかどうかを検証したいと仮定すると、ユーザー名とパスワード（おそらくmd5暗号化文字列）をCookieに保存し、ページがリクエストされるたびに検証する必要があります。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。検証は一度だけではできないからです。なぜ？クライアントの Cookie 内の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が Cookie で true に等しいため、次回は確認する必要はありません。そうですか?違います。誰かが true の値を持つ $admin 変数を偽造した場合、その人はすぐに管理者権限を取得することを意味するのではありませんか?非常に危険です。

セッションは異なります。セッションはサーバー側に保存されます。そのため、最初の検証に合格した後は、$admin 変数を保存するだけで済みます。後で、$admin 値を true に設定します。値が true でない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性を軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。

もちろん、Session を使用することには、簡単な制御、ユーザー定義のストレージ (データベースに保存される) など、多くの利点があります。ここではこれ以上多くは言いません。

php.iniでSessionを設定する必要があるのでしょうか？誰もが php.ini を変更できるわけではないため、通常は必要ありません。セッションのデフォルトの保存パスは、後で説明するようにカスタマイズして独自のフォルダーに保存できます。

セッションの作成方法の紹介を始めます。本当に、とてもシンプルです。

セッションを開始し、$admin 変数を作成します:

<?php //  启动 Session session_start(); //  声明一个名为 admin 的变量，并赋空值。 $_SESSION["admin"] = null; ?>

Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出したい場合は、session_start() 関数を使用して、セッションを呼び出す前にセッション変数を開始する必要があります。他に何も設定する必要はありません。PHP が自動的にセッション ファイルの作成を完了します。

このプログラムを実行した後、システムの一時フォルダーに移動してセッション ファイルを見つけることができます。一般的なファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の形式で、その後に 32 ビットでエンコードされたランダムな文字列が続きます。エディタで開き、その内容を確認します。

admin|N; 通常、内容は次のように構成されています:

変数名|タイプ: 長さ: 値; 各変数はセミコロンで区切られます。長さや種類など一部は省略できます。

データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証プログラムを見てみましょう:

login.php

<?php //  表单提交后... $posts = $_POST; //  清除一些空白符号 foreach ($posts as $key => $value) {    $posts[$key] = trim($value); } $password = md5($posts["password"]); $username = $posts["username"]; $query = "SELECT `username` FROM `user` WHERE `password` = '$password' AND `username` = '$username'"; //  取得查询结果 $userInfo = $DB->getRow($query); if (!empty($userInfo)) {     //  当验证通过后，启动 Session     session_start();     //  注册登陆成功的 admin 变量，并赋值 true     $_SESSION["admin"] = true;  } else {     die("用户名密码错误"); } ?>

ログインするかどうかを決定するためにユーザー検証が必要なページでセッションを開始します。

<?php //  防止全局变量造成安全隐患 $admin = false; //  启动会话，这步必不可少 session_start(); //  判断是否登陆 if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) {     echo "您已经成功登陆"; } else {     //  验证失败，将 $_SESSION["admin"] 置为 false    $_SESSION["admin"] = false;     die("您无权访问"); } ?>

とてもシンプルな毛糸じゃないですか？ $_SESSION はサーバー側に保存される配列と考えてください。登録する各変数は配列のキーであり、配列を使用するのと何ら変わりません。

システムからログアウトしたい場合はどうすればよいですか?セッションを破棄するだけです。

<?php session_start(); //  这种方法是将原来注册的某个变量销毁unset($_SESSION['admin']); //  这种方法是销毁整个 Session 文件session_destroy(); ?>

SessionはCookieのようにライフサイクルを設定できるのでしょうか？ Session を使用すると Cookie が完全に放棄されるのでしょうか? Session と Cookie を組み合わせて使用​​するのが最も便利だと思います。

Session はクライアント ユーザーをどのように決定しますか?セッション ID によって判断されます。セッション ID とは、セッション ファイルのファイル名です。セッション ID はランダムに生成されるため、セッションの一意性とランダム性が保証されます。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。

クライアントが Cookie を無効にしない場合、Cookie はセッションセッションの開始時にセッション ID とセッションの有効期間を保存する役割を果たします。

Session の有効期間を手動で設定しましょう:

<?php session_start(); //  保存一天 $lifeTime = 24 * 3600; setcookie(session_name(), session_id(), time() + $lifeTime, "/"); ?>

実際、Session には Session_set_cookie_params() 関数も用意されており、この関数は session_start() 関数が呼び出される前に呼び出される必要があります。

<?php //  保存一天 $lifeTime = 24 * 3600; session_set_cookie_params($lifeTime); session_start(); $_SESSION["admin"] = true; ?>

　　如果客户端使用 IE 6.0 ， session_set_cookie_params(); 函数设置 Cookie 会有些问题，所以我们还是手动调用 setcookie 函数来创建 cookie。

　　假设客户端禁用 Cookie 怎么办？没办法，所有生存周期都是浏览器进程了，只要关闭浏览器，再次请求页面又得重新注册 Session。那么怎么传递 Session ID 呢？通过 URL 或者通过隐藏表单来传递，PHP 会自动将 Session ID 发送到 URL 上，URL 形如：http://www.openphp.cn /index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669，其中 URL 中的参数 PHPSESSID 就是 Session ID了，我们可以使用 $_GET 来获取该值，从而实现 Session ID 页面间传递。

<?php //  保存一天 $lifeTime = 24 * 3600; //  取得当前 Session 名，默认为 PHPSESSID $sessionName = session_name(); //  取得 Session ID $sessionID = $_GET[$sessionName]; //  使用 session_id() 设置获得的 Session ID session_id($sessionID); session_set_cookie_params($lifeTime); session_start(); $_SESSION['admin'] = true; ?>

　　对于虚拟主机来说，如果所有用户的 Session 都保存在系统临时文件夹里，将给维护造成困难，而且降低了安全性，我们可以手动设置 Session 文件的保存路径，session_save_path() 就提供了这样一个功能。我们可以将 Session 存放目录指向一个不能通过 Web 方式访问的文件夹，当然，该文件夹必须具备可读写属性。

<?php //  设置一个存放目录 $savePath = './session_save_dir/'; //  保存一天 $lifeTime = 24 * 3600; session_save_path($savePath); session_set_cookie_params($lifeTime); session_start(); $_SESSION['admin'] = true; ?>

　　同 session_set_cookie_params(); 函数一样，session_save_path() 函数也必须在 session_start() 函数调用之前调用。

　　我们还可以将数组，对象存储在 Session 中。操作数组和操作一般变量没有什么区别，而保存对象的话，PHP 会自动对对象进行序列化（也叫串行化），然后保存于 Session 中。下面例子说明了这一点：

person.php

<?php class person {     var $age;     function output() {         echo $this->age;     }     function setAge($age) {         $this->age = $age;     } } ?>

setage.php

<?php session_start(); require_once 'person.php'; $person = new person(); $person->setAge(21); $_SESSION['person'] = $person; echo '<a href='output.php'>check here to output age</a>'; ?>

output.php

<?php// 设置回调函数，确保重新构建对象。 ini_set('unserialize_callback_func', 'mycallback'); function mycallback($classname) {     include_once $classname . '.php'; } session_start(); $person = $_SESSION['person']; //  输出 21 $person->output(); ?>

　　当我们执行 setage.php 文件的时候，调用了 setage() 方法，设置了年龄为 21，并将该状态序列化后保存在 Session 中（PHP 将自动完成这一转换），当转到 output.php 后，要输出这个值，就必须反序列化刚才保存的对象，又因为在解序列化的时候需要实例化一个未定义类，所以我们定义了以后回调函数，自动包含 person.php 这个类文件，因此对象被重构，并取得当前 age 的值为 21，然后调用 output() 方法输出该值。

　　另外，我们还可以使用 session_set_save_handler 函数来自定义 Session 的调用方式。