ホームページ > バックエンド開発 > PHPチュートリアル > PHPセッションを使用したユーザーログイン機能の実装_PHPチュートリアル

PHPセッションを使用したユーザーログイン機能の実装_PHPチュートリアル

WBOY
リリース: 2016-07-21 15:02:20
オリジナル
934 人が閲覧しました

Session は Cookie と比較して、サーバー側に保存されるセッションであり、Cookie のような保存期間の制限がなく、比較的安全です。この記事では、Session の使い方を簡単に紹介します。

セッションはテキストファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。

Cookie の場合、ユーザーがログインしているかどうかを確認したいと仮定すると、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、ページがリクエストされるたびに検証する必要があります。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。検証は一度だけではできないからです。なぜ?クライアントの Cookie 内の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が Cookie で true に等しいため、次回は確認する必要はありません。はい、そうですか?違います。誰かが true の値を持つ $admin 変数を偽造した場合、その人はすぐに管理者権限を取得することを意味するのではありませんか?非常に危険です。

セッションは異なります。セッションはサーバー側に保存されます。そのため、最初の検証に合格した後は、$admin 変数を保存するだけで済みます。後で、$admin 値を true に設定します。値が true でない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性を軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。

もちろん、簡単な制御やユーザー定義のストレージ (データベースに保存される) など、Session を使用することには多くの利点があります。ここではこれ以上多くは言いません。

セッションはphp.iniで設定する必要がありますか?誰もが php.ini を変更できるわけではないため、通常は必要ありません。セッションのデフォルトの保存パスは、後で説明するようにカスタマイズして独自のフォルダーに保存できます。

セッションの作成方法の紹介を始めます。本当に、とてもシンプルです。
セッションを開始し、$admin 変数を作成します:

コードをコピーします コードは次のとおりです:

// セッションを開始します
session_start();
// 変数を宣言しますadmin という名前を付け、null 値を割り当てます。
$_SESSION["admin"] = null;
?>

Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出したい場合は、session_start() 関数を使用して、Session を呼び出す前にそれを開始する必要があります。他に何も設定する必要はありません。PHP が自動的にセッション ファイルを作成します。
このプログラムを実行した後、システムの一時フォルダーに移動してセッション ファイルを見つけることができます。通常、ファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の形式で、その後に 32 ビットでエンコードされたランダムな文字列が続きます。エディタで開き、その内容を確認します:
コードをコピーします コードは次のとおりです:

admin|N;

通常、コンテンツは次のように構成されています:
Copy code コードは次のようになります:

変数名 | タイプ: 長さ: 値;

それぞれの変数をセミコロンで区切ります。長さや種類など一部は省略できます。
データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証プログラムを見てみましょう:
login.php
コードをコピーします コードは次のとおりです:

/ /フォームが送信された後、 ..
$posts = $_POST;
// いくつかの空白文字をクリアします
foreach ($posts as $key => $value) {
$posts[$key] = trim($value) ;
}
$password = md5($posts["password"]);
$username = $posts["username"];
$query = "SELECT `username` FROM `user` WHERE `password` = '$パスワード' AND `ユーザー名` = '$ユーザー名'";
// クエリ結果を取得します
$userInfo = $DB->getRow($query);
if (!empty($userInfo)) {
//検証に合格したら、セッションを開始します
session_start();
// ログインに成功したための admin 変数を登録し、値を割り当てます
$_SESSION["admin"] = true;
} else {
die("Wrong username andパスワード");
}
?>

ログインするかどうかを決定するためにユーザー認証が必要なページでセッションを開始します:
コードをコピーします コードは次のとおりです:

// グローバル変数がセキュリティを引き起こすのを防ぐrisks
$admin = false;
/ / セッションを開始します。このステップは必須です
session_start();
// ログインするかどうかを決定します
if (isset($_SESSION["admin"]) && $_SESSION["admin "] === true) {
echo " ログインに成功しました";
} else {
// 検証に失敗しました。$_SESSION["admin"] を false に設定します
$_SESSION["admin"] = false;
die("アクセスする権限がありません");
}
?>

とても簡単ではないですか? $_SESSION はサーバー側に保存される配列と考えてください。登録する各変数は配列のキーであり、配列を使用するのと何ら変わりません。
システムからログアウトしたい場合はどうすればよいですか?セッションを破棄するだけです。
コードをコピーします コードは次のとおりです:

session_start();
// このメソッドは、以前に登録された変数を破棄します
unset($_SESSION['admin']) ;
// このメソッドはセッションファイル全体を破棄します
session_destroy();
?>

セッションはCookieのようにライフサイクルを設定できますか? Session を使用すると Cookie が完全に放棄されるのでしょうか? Session と Cookie を組み合わせて使用​​するのが最も便利だと思います。

セッションはクライアント ユーザーをどのように決定しますか?セッション ID によって判断されます。セッション ID とは、セッション ファイルのファイル名です。セッション ID はランダムに生成されるため、セッションの一意性とランダム性が保証されます。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。

クライアントがCookieを無効にしない場合、Cookieはセッションの開始時にセッションIDとセッションの有効期間を保存する役割を果たします。
セッションの有効期間を手動で設定しましょう:
コードをコピーします コードは次のとおりです:

session_start();
// 1 日保存します
$lifeTime = 24 * 3600;
setcookie (session_name(), session_id(), time() + $lifeTime, "/");
?>

実際、Session には有効期間を設定するための関数 session_set_cookie_params() も用意されています。この関数は session_start() 関数が呼び出される前に呼び出す必要があります:
コードをコピーします コードは次のとおりです:

// 1 日保存します
$lifeTime = 24 * 3600;
session_set_cookie_params($lifeTime);
session_start( );
$_SESSION["admin"] = true;
?>

クライアントが IE 6.0 を使用している場合、session_set_cookie_params(); には問題が発生します。 Cookie を設定するため、引き続き setcookie 関数を手動で呼び出して Cookie を作成します。

クライアントが Cookie を無効にしたらどうなりますか?ブラウザを閉じてページを再度リクエストする限り、ライフサイクル全体がブラウザのプロセスであるため、セッションを再登録する必要があります。では、セッション ID はどのように渡すのでしょうか? URL または非表示フォームを介して渡されると、PHP はセッション ID を URL に自動的に送信します。URL は http://www.openphp.cn/index.php?PHPSESSID= bba5b2a240a77e5b44cfa01d49cf9669 の形式になります。ここで、パラメータは PHPSESSID です。 URL にセッション ID がある場合、$_GET を使用して値を取得することで、ページ間のセッション ID の転送を実現できます。
コードをコピーします コードは次のとおりです:

// 1 日保存します
$lifeTime = 24 * 3600;
// 現在のセッション名を取得します。デフォルトは PHPSESSID です
$sessionName = session_name();
//セッションIDを取得
$sessionID = $_GET[$sessionName];
//session_id()を使用して取得したセッションIDを設定します
session_id($sessionID); );
session_start();
$ _SESSION['admin'] = true;
?>

仮想ホストの場合、すべてのユーザーのセッションがシステムの一時フォルダーに保存されると、メンテナンスが困難になり、セッションファイルの保存パスを手動で設定するには、session_save_path() がそのような機能を提供します。セッション ストレージ ディレクトリを、Web 経由でアクセスできないフォルダーに指定することもできます。もちろん、フォルダーには読み取り/書き込み属性が必要です。

コードをコピーします コードは次のとおりです:

//保存ディレクトリを設定します
$savePath = './session_save_dir/';
// 1日保存します
$lifeTime = 24 * 3600;
session_save_path($savePath);
session_set_cookie_params($ lifeTime) ;
session_start();
$_SESSION['admin'] = true;
?>

session_set_cookie_params() 関数と同様に、session_save_path() 関数も session_start() 関数の前に呼び出す必要があります。と呼ばれます。
配列やオブジェクトをセッションに保存することもできます。配列の操作と一般変数の操作に違いはありません。オブジェクトを保存する場合、PHP はオブジェクトを自動的にシリアル化し (シリアル化とも呼ばれます)、セッションに保存します。次の例はこれを示しています:
person.php
コードをコピーします コードは次のとおりです:

class person {
var $age;
function Output() {
echo $this ->age;
}
function setAge($age) {
$this->age = $age;
}
}
?>

setage.php
コピーコード コードは次のとおりです:

session_start();
require_once 'person.php';
$person = new person();
$person->setAge(21);
$_SESSION['person' ] = $person;
echo '年齢を出力するにはここをチェック';
?>

output.php
コードをコピー コードは次のとおりです:

// オブジェクトが確実に再構築されるようにコールバック関数を設定します。
ini_set('unserialize_callback_func', 'mycallback');
function mycallback($classname) {
include_once $classname . '.php';
}
session_start();
$person = $_SESSION['person'];
// 出力 21
$person->output();
?>

setup.php ファイルを実行するときに、setage() メソッドを呼び出し、年齢を 21 に設定し、ステータスをシリアル化してから、セッションに保存されます (PHP はこの変換を自動的に完了します)。output.php に移動してこの値を出力するには、保存したばかりのオブジェクトを逆シリアル化する必要があり、逆シリアル化するときにインスタンス化する必要があるため、クラスが定義されていません。 person.php クラス ファイルを自動的にインクルードする後続のコールバック関数を定義します。これにより、オブジェクトが再構築され、現在の年齢値が 21 として取得され、output() メソッドが呼び出されて値が出力されます。
さらに、session_set_save_handler 関数を使用して、Session の呼び出しメソッドをカスタマイズすることもできます。

www.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/327932.html技術記事 Session は Cookie と比較して、サーバー側に保存されるセッションであり、Cookie のような保存期間の制限がなく、比較的安全です。この記事では、Session の使い方を簡単に紹介します。 セッシのおかげで...

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
最新の問題
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート