由於 Session 是以文字檔案形式儲存在伺服器端的,所以不怕客戶端修改 Session 內容。實際上在伺服器端的 Session 文件,PHP 自動修改 session 文件的權限,只保留了系統讀取和寫入權限,而且不能透過 ftp 修改,所以安全得多。 PHPChina 開源社群入口網站
對 Cookie 來說,假設我們要驗證使用者是否登陸,就必須在 Cookie 中儲存使用者名稱和密碼(可能是 md5 加密後字串),並在每次要求頁面的時候進行驗證。如果使用者名稱和密碼儲存在資料庫,每次都要執行一次資料庫查詢,造成資料庫多餘的負擔。因為我們並不能只做一次驗證。為什麼呢?因為客戶端 Cookie 中的資訊是有可能被修改的。假如你儲存$admin 變數來表示使用者是否登陸,$admin 為true 的時候表示登陸,為false 的時候表示未登錄,在第一次通過驗證後將$admin 等於true 儲存在Cookie,下次就不用驗證了,這樣對麼?錯了,假如有人偽造一個值為true 的$admin 變數那不是就立即取的了管理權限麼?非常的不安全。
而Session 就不同了,Session 是儲存在伺服器端的,遠端使用者沒辦法修改session 檔案的內容,因此我們可以單純儲存一個$admin 變數來判斷是否登陸,第一次驗證透過後設定$admin 值為true,以後判斷該值是否為true,假如不是,轉入登陸介面,這樣就可以減少很多資料庫操作了。而且可以減少每次為了驗證 Cookie 而傳遞密碼的不安全性了(session 驗證只需要傳遞一次,假如你沒有使用 SSL 安全協定的話)。即使密碼進行了 md5 加密,也是很容易被截獲的。
當然使用 session 還有很多優點,例如控制容易,可以按照使用者自訂儲存等(儲存於資料庫)。我這裡就不多說了。
session 在php.ini 是否需要設定呢?一般不需要的,因為並不是每個人都有修改PHP.ini 的權限,預設session 的存放路徑是伺服器的系統臨時資料夾,我們可以自訂存放在自己的資料夾裡,這個稍後我會介紹。
開始介紹如何建立 session。非常簡單,真的。
啟動 session 會話,並建立一個 $admin 變數:
// 启动 session session_start(); // 声明一个名为 admin 的变量,并赋空值。 $_session["admin"] = null; ?>
如果你使用了 Seesion,或是該 PHP 檔案要呼叫 Session 變量,那麼就必須在呼叫 Session 之前啟動它,使用 session_start() 函數。其它都不需要你設定了,PHP 自動完成 session 檔案的建立。
執行完這個程式後,我們可以到系統暫存資料夾找到這個 session 文件,一般檔案名稱如:sess_4c83638b3b0dbf65583181c2f89168ec,後面是 32 位元編碼後的隨機字串。用編輯器打開它,看一下它的內容:
admin|N;
一般該內容是這樣的結構:
變數名稱|類型:長度:值; 變數名稱|類型:長度:值; 並用每個變數組成一個變數。有些是可以省略的,例如長度和類型。
我們來看一下驗證程序,假設資料庫儲存的是使用者名稱和md5 加密後的密碼:
// 表单提交后…
$posts = $_POST;
// 清除一些空白符号
foreach ($posts as $key => $value)
{
$posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts["username"];
$query = “Select `username` FROM `user` Where `password` = ‘$password'”;
// 取得查询结果
$userInfo = $DB->getRow($query);
if (!empty($userInfo))
{
if ($userInfo["username"] == $username)
{
// 当验证通过后,启动 session
session_start();
// 注册登陆成功的 admin 变量,并赋值 true
$_session["admin"] = true;
}
else
{
die(“用户名密码错误”);
}
}
else
{
die(“用户名密码错误”);
}
我们在需要用户验证的页面启动 session,判断是否登陆:
// 防止全局变量造成安全隐患
$admin = false;
// 启动会话,这步必不可少
session_start();
// 判断是否登陆
if (isset($_SESSION["admin"]) && $_session["admin"] === true)
{
echo “您已经成功登陆”;
}
else
{
// 验证失败,将 $_session["admin"] 置为 false
$_session["admin"] = false;
die(“您无权访问”);
}
?> 如果要登出系統怎麼辦?銷毀 session 即可。
session_start(); // 这种方法是将原来注册的某个变量销毁 unset($_session["admin"]); // 这种方法是销毁整个 session 文件 session_destroy(); ?>
Session 是如何來判斷客戶端用戶的呢?它是透過Session ID 來判斷的,什麼是Session ID,就是那個Session 檔案的檔案名,Session ID 是隨機產生的,因此能保證唯一性和隨機性,確保Session 的安全。一般如果沒有設定 Session 的生存週期,則 Session ID 儲存在記憶體中,關閉瀏覽器後該 ID 自動登出,重新要求該頁面後,重新註冊一個 session ID。
如果客戶端沒有停用 Cookie,則 Cookie 在啟動 Session 會話的時候扮演的是儲存 Session ID 和 session 生存期的角色。
我們來手動設定 session 的生存期:
session_start(); // 保存一天 $lifeTime = 24 * 3600; setcookie(session_name(), session_id(), time() + $lifeTime, “/”); ?>
// 保存一天 $lifeTime = 24 * 3600; session_set_cookie_params($lifeTime); session_start(); $_session["admin"] = true; ?>
如果客户端使用 IE 6.0 , session_set_cookie_params(); 函数设置 Cookie 会有些问题,所以我们还是手动调用 setcookie 函数来创建 cookie。
假设客户端禁用 Cookie 怎么办?没办法,所有生存周期都是浏览器进程了,只要关闭浏览器,再次请求页面又得重新注册 Session。那么怎么传递 Session ID 呢?通过 URL 或者通过隐藏表单来传递,PHP 会自动将 session ID 发送到 URL 上,URL 形如:http://www.openphp.cn /index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669,其中 URL 中的参数 PHPSESSID 就是 Session ID了,我们可以使用 $_GET 来获取该值,从而实现 session ID 页面间传递。
// 保存一天 $lifeTime = 24 * 3600; // 取得当前 session 名,默认为 PHPSESSID $sessionName = session_name(); // 取得 session ID $sessionID = $_GET[$sessionName]; // 使用 session_id() 设置获得的 session ID session_id($sessionID); session_set_cookie_params($lifeTime); session_start(); $_session["admin"] = true; ?>
对于虚拟主机来说,如果所有用户的 Session 都保存在系统临时文件夹里,将给维护造成困难,而且降低了安全性,我们可以手动设置 Session 文件的保存路径,session_save_path()就提供了这样一个功能。我们可以将 session 存放目录指向一个不能通过 Web 方式访问的文件夹,当然,该文件夹必须具备可读写属性。
// 设置一个存放目录 $savePath = “./session_save_dir/”; // 保存一天 $lifeTime = 24 * 3600; session_save_path($savePath); session_set_cookie_params($lifeTime); session_start(); $_session["admin"] = true; ?>
同 session_set_cookie_params(); 函数一样,session_save_path() 函数也必须在 session_start() 函数调用之前调用。
我们还可以将数组,对象存储在 session 中。操作数组和操作一般变量没有什么区别,而保存对象的话,PHP 会自动对对象进行序列化(也叫串行化),然后保存于 session 中。下面例子说明了这一点:
class person
{
var $age;
function output() {
echo $this->age;
}
function setAge($age) {
$this->age = $age;
}
}
?>setage.PHP
session_start(); require_once “person.PHP”; $person = new person(); $person->setAge(21); $_session['person'] = $person; echo “check here to output age”; ?>
output.PHP
// 设置回调函数,确保重新构建对象。
ini_set(‘unserialize_callback_func', ‘mycallback');
function mycallback($classname) {
$classname . “.PHP”;
}
session_start();
$person = $_session["person"];
// 输出 21
$person->output();
?>当我们执行 setage.php 文件的时候,调用了 setage() 方法,设置了年龄为 21,并将该状态序列化后保存在 session 中(PHP 将自动完成这一转换),当转到 output.php 后,要输出这个值,就必须反序列化刚才保存的对象,又因为在解序列化的时候需要实例化一个未定义类,所以我们定义了以后回调函数,自动包含 person.PHP 这个类文件,因此对象被重构,并取得当前 age 的值为 21,然后调用 output() 方法输出该值。
更多PHP中session使用方法详解第1/2页相关文章请关注PHP中文网!
