> 백엔드 개발 > PHP 튜토리얼 > PHP 세션 원리 분석 및 사용

PHP 세션 원리 분석 및 사용

巴扎黑
풀어 주다: 2023-03-02 21:56:01
원래의
1552명이 탐색했습니다.

이전에 Magic Lab이라는 블로그에서 "PHP 세션 원리의 철저한 분석"이라는 글을 읽은 적이 있습니다. 저자는 세션 사용 관점에서 각 링크의 변경 사항과 코드 실행 과정에서 관련된 변경 사항을 설명했습니다. 매개변수 설정 및 기능. 원래는 원본 기사를 다시 게시하고 싶었지만 원본 블로그가 폐쇄되었습니다. 이번 대규모 리파일링 때문인지, 아니면 다른 이유가 있는 것인지는 모르겠습니다. Baidu 스냅샷을 통해 일부 원본 정보가 발견되었습니다. 발견되지 않은 정보는 모두가 세션을 더 잘 이해할 수 있도록 이전 이해에 따라 재구성됩니다.

Wedge: Session vernacular

Session, 영어로 "대화"로 번역하면, 두 사람이 나누는 대화, 안녕하세요의 첫 문장부터 작별 인사의 마지막 문장까지 이것이 대화를 구성합니다. PHP의 세션은 주로 브라우저 열기부터 닫기까지 클라이언트 브라우저와 서버 데이터 교환 간의 대화를 의미하며 가장 간단한 세션 주기입니다. 컴퓨터 언어는 일반적으로 대화를 어떻게 구현합니까? 대중적인 예를 들면:
서버는 이발소와 같고, 클라이언트는 이발소에 가는 모든 고객과 같습니다. 많은 이발소에서는 연속으로 10번 소비하는 고객이 이러한 프로모션 방법을 가지고 있습니다. 무료로 얻을 수 있는 방법은 세 가지가 있습니다.
1. 이발사는 기억력이 좋습니다. 그는 당신이 여기에 몇 번이나 왔는지 한 눈에 알 수 있습니다. 이것을 세션 지원 프로토콜이라고 합니다.
2. 게스트마다 멤버십 카드가 발급되며, 구매할 때마다 이 카드를 지참해야 합니다. 각 구매가 기록되고 당연히 씰이 추가됩니다. 이를 세션 구현이라고 합니다. 쿠키를 통해 보안이 높지 않다는 점
3. 이발소는 각 고객의 회원번호에 해당하는 장부를 준비합니다. 개인정보, 심지어 비밀번호까지. 고객이 구매하러 오면 회원번호를 신고한 후 대장부에 구매 건수를 기록합니다. - 이것이 손님 마음속의 회원번호입니다. 는 클라이언트에 저장된 SESSIONID이고, 큰 원장은 서버에 저장된 세션 데이터라고 합니다. 클라이언트의 SESSIONID를 위조합니다.

http 프로토콜은 상태 비저장(stateless)이기 때문에 PHP는 후자의 두 가지 방법을 통해서만 세션을 구현할 수 있습니다. 전자 쿠키는 이미 언급한 단점이 있고 그다지 안전하지 않으므로 중요한 세션에서는 session 을 사용하도록 선택합니다. 세션은 비밀번호로도 이해될 수 있는 SESSIONID라는 식별자에 의존해야 합니다. 이는 클라이언트에 일반적으로 쿠키에 저장되는 암호화된 문자열입니다. 클라이언트와 서버 간의 모든 통신은 먼저 이 SESSIONID를 통해 이루어지며, 그러면 서버는 사용자가 저장한 세션 데이터를 찾을 수 있습니다. 서버에서 통화를 계속하세요.

php.ini 공통 세션 설정

[Server]
session.save_handler = files
기본값은 file이며, 세션이 서버에 저장되는 방식을 정의합니다. 세션을 서버에 저장합니다. 다른 저장 방법(예: 데이터베이스 사용)을 사용자 정의하려면 이 항목을 user로 설정해야 합니다.

session.save_path = "/tmp/"
정의 서버가 세션용 임시 파일을 저장하는 위치입니다.

session.auto_start = 0
1로 설정하면 각 파일에 session_start()를 작성할 필요가 없습니다. 세션이 자동으로 시작됩니다.

session.gc_probability = 1
session.gc_divisor = 100
session.gc_maxlifetime = 1440
이 세 가지 구성을 결합하여 서버 측 세션의 가비지 수집 메커니즘을 구축합니다. session.gc_probability 및 session.gc_divisor 세션 정리를 실행할 확률을 구성합니다. 이론적 설명은 서버가 정기적으로 세션을 정리하기 위해 gc 함수를 호출할 확률이 있다는 것입니다. 예: gc_probability/gc_divisor. 각각의 새로운 세션이 초기화될 때 가비지 컬렉션 프로그램이 시작될 확률은 1%이며, 정리 기준은 session.gc_maxlifetime에서 정의한 시간입니다.

[클라이언트]
session.use_cookies = 1
클라이언트의 세션 ID가 사용하는 저장 방법은 쿠키를 사용하여 클라이언트의 세션 ID를 기록하는 것입니다. $_COOKIE 변수에 있습니다. _COOKIE['PHPSESSIONID'] 요소는

session.use_only_cookies = 1
또한 클라이언트의 세션 ID에서 사용하는 저장 방법을 정의합니다. 쿠키를 사용하여 세션 ID를 저장합니다. 일반적으로 클라이언트는 이제 쿠키를 지원하므로 URL을 통한 세션 ID 전달과 관련된 공격을 방지하려면 쿠키를 1로 설정하는 것이 좋습니다.

session.use_trans_sid = 0
여기서 1로 설정하면 sessionid가 url 매개변수를 통해 전달되도록 허용한다는 의미입니다. 0;

session .referer_check =
이 설정은 session.use_trans_sid = 1인 경우에만 적용됩니다. 목적은 HTTP 헤더의 "Referer"를 확인하여 URL은 유효합니다. HTTP_REFERER에는 이 매개변수로 지정된 문자가 포함되어야 합니다. 그렇지 않으면 URL의 세션 ID가 유효하지 않은 것으로 간주됩니다. 따라서 기본값은 일반적으로 비어 있습니다. 즉, 검사하지 않습니다.

session.name = PHPSESSID
sessionid의 이름, 즉 변수 이름을 정의합니다. PHPSESSID의 값은 브라우저 http 도구를 통해 볼 수 있습니다.

session.hash_function = 0
session_name의 암호화 방법을 선택하세요. 0은 md5 암호화, 1은 sha1 암호화를 나타냅니다. 기본값은 0이지만 sha1 암호화 방법을 사용하는 것이 더 안전하다고 합니다.

session.hash_bits_per_character = 4
지정합니다. session_name의 문자 문자열의 각 문자에 저장되는 이진수 수는 해시 함수의 결과입니다.
4비트: 0-9, a-f
5비트: 0-9, a-v
6비트: 0-9, a-z, A-Z, "-", ","

url_rewriter .tags = "a=href,area=href,frame=src,input=src,form=,fieldset="
sid(session_id)를 포함하도록 다시 작성할 HTML 태그 지정("session.use_trans_sid"에서만 열림) 유효한 경우) URL 재작성은 URL에 추가되어야 하는 추가 정보가 포함된 숨겨진 ""을 추가합니다.

session.cookie_lifetime = 0
sessionid를 저장하는 쿠키 파일의 수명입니다. 0으로 설정하면 세션이 종료되었음을 의미하며, 브라우저를 강제 실행하면 sessionid가 자동으로 사라집니다. 닫으면 마지막 항목이 손실됩니다.

session.cookie_path = /
클라이언트에 sessionid 쿠키 파일의 위치를 ​​저장합니다.

session.cookie_domain = /
sessionid 쿠키의 도메인 이름 설정을 저장합니다. 이는 쿠키에서 허용하는 도메인 이름의 액세스 권한 설정과 동일합니다. 일반적으로 웹사이트의 모든 디렉터리에 액세스할 수 있도록 하려면 클라이언트의 쿠키는 "/"로 설정해야 합니다. 자세한 내용은 setcookie() 함수의 도메인 매개변수를 참조하세요.

session.bug_compat_42
session.bug_compat_warn = 1
이 두 설정은 거의 폐기되었다고 할 수 있으며 주로 session_register 함수용입니다. php5의 Register_global이 기본적으로 닫혀 있으므로 session_register 함수는 다음과 같습니다. php5에서는 전혀 사용되지 않으며 php6에서는 이 설정을 폐쇄형으로 직접 정의하므로 이 두 가지를 연구할 필요가 없습니다. session_start()는 무엇을 합니까?

php.ini에서 세션의 여러 주요 매개변수가 다음과 같이 구성되어 있다고 가정합니다.
session.save_handler = files
session.use_cookies = 1
session.name = PHPSESSID
session .save_path = "/tmp/"


다음은 코드 예제를 사용하여 세션 중 session_start의 역할을 보여줍니다.

프로그램 1:

session_start();
$_SESSION['uname'] = 'monkey';
$_SESSION['ukey'] = 20119999 ;
?>


프로그램 1이 실행된 후 session_start()는 두 가지 작업을 수행합니다:


1 PHPSESSID를 저장하기 위해 클라이언트에 쿠키를 생성합니다. 이 파일의 저장 위치와 방법은 프로그램의 실행 방법과 관련이 있습니다. 이 단계에서는 브라우저에서 쿠키 정보를 보기 위해 직렬화된 문자열이 생성됩니다. -인. Firefox의 httpfox, 웹 개발자 등은 모두 좋은 도구입니다.


2. 세션 데이터를 저장할 임시 파일을 생성합니다. 저장 위치는 "sess_85891d6a81ab13965d349bde29b2306c"와 유사합니다. " 85891d6a81ab13965d349bde29b2306c"는 이 세션의 PHPSESSID이며 클라이언트의 PHPSESSID 값과 동일합니다.

편집기로 "sess_85891d6a81ab13965d349bde29b2306c" 파일을 열면 "uname|s:6:"monkey";ukey|i:20119999;"와 같은 콘텐츠 문자열이 표시됩니다. 이 파일에는 $_SESSION 변수의 특정 내용이 저장됩니다. 각 변수는 ";"로 구분됩니다.



형식은 다음과 같습니다. 변수 이름: [length] : value; 예: uname|s:6:"monkey"; 값 길이는 6 , 값은 원숭이입니다.

그럼 session_start()에 프로그램이 실행되면 위에서 언급한 두 가지가 완료됩니까? 이 두 가지 사이에서 누가 먼저이고 누가 마지막에 오는가?
실험을 통해 증명하고 프로그램을 약간 변경합니다.

프로그램 2:
session_start()
$_SESSION['uname'] = 'monkey ' ;
$_SESSION['ukey'] = 20119999;

sleep(30);
?>

먼저 클라이언트와 서버의 모든 세션 데이터를 삭제하고 그런 다음 프로그램 2를 실행하고 프로그램의 30초 절전 시간을 활용하여 클라이언트와 서버의 세션 상태를 확인하고 다음을 확인합니다. 프로그램 실행 중에 클라이언트가 PHPSESSID를 저장하기 위한 쿠키 파일을 생성하지 않았습니다. , 그러나 서버가 이미 저장했습니다. 세션 내용의 임시 파일이지만 파일에 내용이 없습니다. 30초 후에 클라이언트의 쿠키 파일이 생성되고 서버의 세션 파일에 내용이 포함됩니다.


일반적인 프로세스는 다음과 같아야 한다고 추론할 수 있습니다. session_start()로 프로그램이 실행되면 서버는 먼저 PHPSESSID와 해당 세션 파일을 생성하지만 프로그램이 $_SESSION을 할당하면 쓰기가 없습니다. 세션 파일에 해당 값이 저장되어 있다고 가정하면, 프로그램이 실행된 후 PHPSESSID를 저장하는 쿠키 파일이 클라이언트에 생성되고 $_SESSION 변수의 값이 서버에 기록됩니다. 세션 파일에서 마지막 두 단계 중 어느 것이 먼저 나오는지에 대해서는 아직까지 이를 증명할 수 있는 좋은 방법이 생각나지 않았습니다.


추가 시연을 위해 클라이언트와 서버에서 세션 관련 내용을 삭제하고 프로그램 3을 실행한 후 첫 번째와 두 번째 결과를 관찰합니다.
프로그램 3:
session_start();
$_SESSION['uname'] = '원숭이'
$session_id = session_id()
$sess_file = "/tmp/sess_". $session_id;
$content = file_get_contents($sess_file)

echo '***'.$_COOKIE['PHPSESSID'] .'***';
echo '
' . '
'
echo '***'.'***';

위는 첫 번째 session_start()의 실행 방법, 즉 일련의 프로그램에서 첫 번째 session_start()가 나타날 때 수행되는 작업입니다. 다음 session_start()를 살펴보겠습니다. 🎜>
가정된 php.ini 구성: session.cookie_lifetime = 0 

프로그램 4:
session_start()
echo $_SESSION['uname'] ;
echo $_SESSION['ukey'];
?>

이제 클라이언트에는 PHPSESSID를 저장할 쿠키 파일이 있고 서버에도 PHPSESSID를 저장할 sess_ 파일이 있습니다. 세션 내용을 확인하고 프로그램을 실행합니다. 4. 일반 내용이 인쇄됩니다. 이때 브라우저를 강제로 닫은 후 프로그램 4를 실행하면 어떤 결과가 나올까요?


먼저 session.cookie_lifetime을 0으로 설정하는데, 이는 클라이언트가 PHPSESSID로 저장한 쿠키 파일의 수명이 0이라는 뜻입니다. 브라우저가 켜져 있으면, PHPSESSID는 메모리에 저장되며, 강제 종료되면 PHPSESSID를 저장한 쿠키 파일도 동시에 소멸되지만, 서버는 session_destroy()를 실행하지 않으므로 서버의 세션 데이터 파일은 그대로 남아 있지만, 브라우저가 실행 프로그램 4를 다시 열면 아무것도 출력되지 않습니다.

session_start()는 먼저 클라이언트 쿠키에서 PHPSESSID를 가져온 다음 이를 "sess_"와 결합하여 파일 이름을 만듭니다. , 서버로 이동하여 파일을 찾은 다음 파일의 내용을 $_SESSION 전역 변수에 넣어 사용합니다. 브라우저를 강제로 닫았다가 다시 열면 이전 PHPSESSID가 손실됩니다. 이때 session_start()가 발생하는 것은 위에서 언급한 첫 번째 실행과 동일하며, 이 PHPSESSID는 이전 서버의 sess_ 파일과 일치할 수 없습니다. . 이므로 콘텐츠를 얻을 수 없습니다. 물론 서버에도 이 PHPSESSID와 일치하는 파일이 있지만 해당 파일은 여전히 ​​비어 있습니다.


따라서 동일한 사용자가 하나의 컴퓨터 또는 하나의 브라우저에서만 로그인할 수 있는 메커니즘을 구현하기 위해 일부 시스템에서는 session.cookie_lifetime 설정이 수정되지 않으면 브라우저를 강제로 닫습니다. 서버측 세션 수명이 만료되기 전에 사용자가 로그인할 수 없는 경우 session.cookie_lifetime을 상대적으로 큰 값으로 설정하는 것이 좋습니다. 어쨌든 쿠키 파일이 더 오래 존재하면 아무런 효과가 없습니다.


관련 라벨:
php
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿