在PHP開發(fā)中對比起Cookie���,session 是存儲在服務器端的會話,相對安全����,并且不像 Cookie 那樣有存儲長度限制,本文簡單介紹 session 的使用���。
由于 Session 是以文本文件形式存儲在服務器端的����,所以不怕客戶端修改 Session 內(nèi)容�����。實際上在服務器端的 Session 文件���,PHP 自動修改 session 文件的權(quán)限����,只保留了系統(tǒng)讀和寫權(quán)限����,而且不能通過 ftp 修改,所以安全得多����。PHPChina 開源社區(qū)門戶 k%W%e2C Y
對于 Cookie 來說,假設我們要驗證用戶是否登陸�,就必須在 Cookie 中保存用戶名和密碼(可能是 md5 加密后字符串),并在每次請求頁面的時候進行驗證�����。如果用戶名和密碼存儲在數(shù)據(jù)庫,每次都要執(zhí)行一次數(shù)據(jù)庫查詢����,給數(shù)據(jù)庫造成多余的負擔。因為我們并不能只做一次驗證�����。為什么呢�����?因為客戶端 Cookie 中的信息是有可能被修改的���。假如你存儲 $admin 變量來表示用戶是否登陸��,$admin 為 true 的時候表示登陸��,為 false 的時候表示未登錄�����,在第一次通過驗證后將 $admin 等于 true 存儲在 Cookie��,下次就不用驗證了�,這樣對么?錯了��,假如有人偽造一個值為 true 的 $admin 變量那不是就立即取的了管理權(quán)限么��?非常的不安全����。
而 Session 就不同了�,Session 是存儲在服務器端的,遠程用戶沒辦法修改 session 文件的內(nèi)容����,因此我們可以單純存儲一個 $admin 變量來判斷是否登陸,首次驗證通過后設置 $admin 值為 true�����,以后判斷該值是否為 true�,假如不是,轉(zhuǎn)入登陸界面�����,這樣就可以減少很多數(shù)據(jù)庫操作了。而且可以減少每次為了驗證 Cookie 而傳遞密碼的不安全性了(session 驗證只需要傳遞一次�����,假如你沒有使用 SSL 安全協(xié)議的話)�。即使密碼進行了 md5 加密,也是很容易被截獲的���。
當然使用 session 還有很多優(yōu)點���,比如控制容易,可以按照用戶自定義存儲等(存儲于數(shù)據(jù)庫)�����。我這里就不多說了���。
session 在 php.ini 是否需要設置呢��?一般不需要的�,因為并不是每個人都有修改 PHP.ini 的權(quán)限�,默認 session 的存放路徑是服務器的系統(tǒng)臨時文件夾,我們可以自定義存放在自己的文件夾里,這個稍后我會介紹�。
開始介紹如何創(chuàng)建 session。非常簡單���,真的�����。
啟動 session 會話,并創(chuàng)建一個 $admin 變量:
<?PHP
// 啟動 session
session_start();
// 聲明一個名為 admin 的變量��,并賦空值����。
$_session["admin"] = null;
?>
如果你使用了 Seesion,或者該 PHP 文件要調(diào)用 Session 變量���,那么就必須在調(diào)用 Session 之前啟動它����,使用 session_start() 函數(shù)��。其它都不需要你設置了����,PHP 自動完成 session 文件的創(chuàng)建��。
執(zhí)行完這個程序后���,我們可以到系統(tǒng)臨時文件夾找到這個 session 文件,一般文件名形如:sess_4c83638b3b0dbf65583181c2f89168ec�����,后面是 32 位編碼后的隨機字符串����。用編輯器打開它,看一下它的內(nèi)容:
admin|N;
一般該內(nèi)容是這樣的結(jié)構(gòu):
變量名|類型:長度:值;
并用分號隔開每個變量�。有些是可以省略的,比如長度和類型�����。
我們來看一下驗證程序���,假設數(shù)據(jù)庫存儲的是用戶名和 md5 加密后的密碼:
<?PHP
// 表單提交后...
$posts = $_POST;
// 清除一些空白符號
foreach ($posts as $key => $value)
{
$posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts["username"];
$query = "SELECT `username` FROM `user` WHERE `password` = '$password'";
// 取得查詢結(jié)果
$userInfo = $DB->getRow($query);
if (!empty($userInfo))
{
if ($userInfo["username"] == $username)
{
// 當驗證通過后����,啟動 session
session_start();
// 注冊登陸成功的 admin 變量,并賦值 true
$_session["admin"] = true;
}
else
{
die("用戶名密碼錯誤");
}
}
else
{
die("用戶名密碼錯誤");
}
我們在需要用戶驗證的頁面啟動 session���,判斷是否登陸:
<?PHP
// 防止全局變量造成安全隱患
$admin = false;
// 啟動會話���,這步必不可少
session_start();
// 判斷是否登陸
if (isset($_SESSION["admin"]) && $_session["admin"] === true)
{
echo "您已經(jīng)成功登陸";
}
else
{
// 驗證失敗,將 $_session["admin"] 置為 false
$_session["admin"] = false;
die("您無權(quán)訪問");
}
?>
是不是很簡單呢��?將 $_session 看成是存儲在服務器端的數(shù)組即可��,我們注冊的每一個變量都是數(shù)組的鍵���,跟使用數(shù)組沒有什么分別�����。
如果要登出系統(tǒng)怎么辦?銷毀 session 即可����。
<?PHP
session_start();
// 這種方法是將原來注冊的某個變量銷毀
unset($_session["admin"]);
// 這種方法是銷毀整個 session 文件
session_destroy();
>
#p#副標題#e#
Session 能否像 Cookie 那樣設置生存周期呢?有了 Session 是否就完全拋棄 Cookie 呢���?我想說����,結(jié)合 Cookie 來使用 session 才是最方便的。
Session 是如何來判斷客戶端用戶的呢�����?它是通過 Session ID 來判斷的���,什么是 Session ID��,就是那個 Session 文件的文件名���,Session ID 是隨機生成的,因此能保證唯一性和隨機性�����,確保 Session 的安全��。一般如果沒有設置 Session 的生存周期����,則 Session ID 存儲在內(nèi)存中,關(guān)閉瀏覽器后該 ID 自動注銷��,重新請求該頁面后,重新注冊一個 session ID��。
如果客戶端沒有禁用 Cookie���,則 Cookie 在啟動 Session 會話的時候扮演的是存儲 Session ID 和 session 生存期的角色��。
我們來手動設置 session 的生存期:
<?PHP
session_start();
// 保存一天
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");
?>
其實 Session 還提供了一個函數(shù) session_set_cookie_params(); 來設置 Session 的生存期的�����,該函數(shù)必須在 session_start() 函數(shù)調(diào)用之前調(diào)用:
<?PHP
// 保存一天
$lifeTime = 24 * 3600;
session_set_cookie_params($lifeTime);
session_start();
$_session["admin"] = true;
?>
如果客戶端使用 IE 6.0 ���, session_set_cookie_params(); 函數(shù)設置 Cookie 會有些問題,所以我們還是手動調(diào)用 setcookie 函數(shù)來創(chuàng)建 cookie���。
假設客戶端禁用 Cookie 怎么辦��?沒辦法,所有生存周期都是瀏覽器進程了�����,只要關(guān)閉瀏覽器���,再次請求頁面又得重新注冊 Session����。那么怎么傳遞 Session ID 呢?通過 URL 或者通過隱藏表單來傳遞�����,PHP 會自動將 session ID 發(fā)送到 URL 上�,URL 形如:http://www.openphp.cn /index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669,其中 URL 中的參數(shù) PHPSESSID 就是 Session ID了�,我們可以使用 $_GET 來獲取該值,從而實現(xiàn) session ID 頁面間傳遞�����。
<?PHP
// 保存一天
$lifeTime = 24 * 3600;
// 取得當前 session 名���,默認為 PHPSESSID
$sessionName = session_name();
// 取得 session ID
$sessionID = $_GET[$sessionName];
// 使用 session_id() 設置獲得的 session ID
session_id($sessionID);
session_set_cookie_params($lifeTime);
session_start();
$_session["admin"] = true;
?>
對于虛擬主機來說���,如果所有用戶的 Session 都保存在系統(tǒng)臨時文件夾里,將給維護造成困難����,而且降低了安全性���,我們可以手動設置 Session 文件的保存路徑,session_save_path()就提供了這樣一個功能�����。我們可以將 session 存放目錄指向一個不能通過 Web 方式訪問的文件夾����,當然,該文件夾必須具備可讀寫屬性����。
<?PHP
// 設置一個存放目錄
$savePath = "./session_save_dir/";
// 保存一天
$lifeTime = 24 * 3600;
session_save_path($savePath);
session_set_cookie_params($lifeTime);
session_start();
$_session["admin"] = true;
?>
同 session_set_cookie_params(); 函數(shù)一樣,session_save_path() 函數(shù)也必須在 session_start() 函數(shù)調(diào)用之前調(diào)用�����。
我們還可以將數(shù)組�����,對象存儲在 session 中����。操作數(shù)組和操作一般變量沒有什么區(qū)別,而保存對象的話�����,PHP 會自動對對象進行序列化(也叫串行化)����,然后保存于 session 中。下面例子說明了這一點:
<?PHP
class person
{
var $age;
function output() {
echo $this->age;
}
function setAge($age) {
$this->age = $age;
}
}
?>
setage.PHP
<?PHP
session_start();
require_once "person.PHP";
$person = new person();
$person->setAge(21);
$_session['person'] = $person;
echo "<a href='output'>check here to output age</a>";
?>
output.PHP
<?
// 設置回調(diào)函數(shù)��,確保重新構(gòu)建
關(guān)鍵詞標簽:php
plsql developer怎么連接數(shù)據(jù)庫-plsql developer連接數(shù)據(jù)庫方法
2021年最好用的10款php開發(fā)工具推薦
在 PHP 中使用命令行工具