Session與Cookie都是用來保存用戶信息的,但是不同的是Cookie是保存的客戶端,Session是保存在服務端。比起Cookie,Session 是存儲在服務器端的會話,相對安全,並且不像 Cookie 那樣有存儲長度限制。Session指的就是用戶在瀏覽某個網站時,從進入網站到瀏覽器關閉所經過的這段時間,也就是用戶瀏覽這個網站所花費的時間。從上述的定義中我們可以看到,Session實際上是一個特定的時間概念。
由於 Session 是以文本文件形式存儲在服務器端的,所以不怕客戶端修改 Session 內容。實際上在服務器端的 Session 文件,PHP 自動修改 Session 文件的權限,只保留了系統讀和寫權限,而且不能通過 ftp 修改,所以安全得多。
對於 Cookie 來說,假設我們要驗證用戶是否登陸,就必須在 Cookie 中保存用戶名和密碼(可能是 md5 加密後字符串),並在每次請求頁面的時候進行驗證。如果用戶名和密碼存儲在數據庫,每次都要執行一次數據庫查詢,給數據庫造成多餘的負擔。因爲我們並不能 只做一次驗證。爲什麼呢?因爲客戶端 Cookie 中的信息是有可能被修改的。假如你存儲 $admin 變量來表示用戶是否登陸,$admin 爲 true 的時候表示登陸,爲 false 的時候表示未登錄,在第一次通過驗證後將 $admin 等於 true 存儲在 Cookie,下次就不用驗證了,這樣對麼?錯了,假如有人僞造一個值爲 true 的 $admin 變量那不是就立即取的了管理權限麼?非常的不安全。
而 Session 就不同了,Session 是存儲在服務器端的,遠程用戶沒辦法修改 Session 文件的內容,因此我們可以單純存儲一個 $admin 變量來判斷是否登陸,首次驗證通過後設置 $admin 值爲 true,以後判斷該值是否爲 true,假如不是,轉入登陸界面,這樣就可以減少很多數據庫操作了。而且可以減少每次爲了驗證 Cookie 而傳遞密碼的不安全性了(Session 驗證只需要傳遞一次,假如你沒有使用 SSL 安全協議的話)。即使密碼進行了 md5 加密,也是很容易被截獲的。
當然使用 Session 還有很多優點,比如控制容易,可以按照用戶自定義存儲等(存儲於數據庫)。我這裏就不多說了。
Session 在 php.ini 是否需要設置呢?一般不需要的,因爲並不是每個人都有修改 php.ini 的權限,默認 Session 的存放路徑是服務器的系統臨時文件夾,我們可以自定義存放在自己的文件夾裏,這個稍後我會介紹。
開始介紹如何創建 Session。非常簡單,真的。
啓動 Session 會話,並創建一個 $admin 變量:
// 啓動 Session
session_start();
// 聲明一個名爲 admin 的變量,並賦空值。
$_SESSION["admin"] = null;
?>
如果你使用了 Seesion,或者該 PHP 文件要調用 Session 變量,那麼就必須在調用 Session 之前啓動它,使用 session_start() 函數。其它都不需要你設置了,PHP 自動完成 Session 文件的創建。
執行完這個程序後,我們可以到系統臨時文件夾找到這個 Session 文件,一般文件名形如:sess_4c83638b3b0dbf65583181c2f89168ec,後面是 32 位編碼後的隨機字符串。用編輯器打開它,看一下它的內容:
admin|N;
一般該內容是這樣的結構:
變量名|類型:長度:值;
並用分號隔開每個變量。有些是可以省略的,比如長度和類型。
我們來看一下驗證程序,假設數據庫存儲的是用戶名和 md5 加密後的密碼:
// 表單提交後...
$posts = $_POST;
// 清除一些空白符號
foreach ($posts as $key => $value)
{
$posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts["username"];
$query = "Select `username` FROM `user` Where `password` = '$password'";
// 取得查詢結果
$userInfo = $DB->getRow($query);
if (!empty($userInfo))
{
if ($userInfo["username"] == $username)
{
// 當驗證通過後,啓動 Session
session_start();
// 註冊登陸成功的 admin 變量,並賦值 true
$_SESSION["admin"] = true;
}
else
{
die("用戶名密碼錯誤");
}
}
else
{
die("用戶名密碼錯誤");
}
我們在需要用戶驗證的頁面啓動 Session,判斷是否登陸:
// 防止全局變量造成安全隱患
$admin = false;
// 啓動會話,這步必不可少
session_start();
// 判斷是否登陸
if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true)
{
echo "您已經成功登陸";
}
else
{
// 驗證失敗,將 $_SESSION["admin"] 置爲 false
$_SESSION["admin"] = false;
die("您無權訪問");
}
?>
是不是很簡單呢?將 $_SESSION 看成是存儲在服務器端的數組即可,我們註冊的每一個變量都是數組的鍵,跟使用數組沒有什麼分別。
如果要登出系統怎麼辦?銷燬 Session 即可。
session_start();
// 這種方法是將原來註冊的某個變量銷燬
unset($_SESSION["admin"]);
// 這種方法是銷燬整個 Session 文件
session_destroy();
>
Session 能否像 Cookie 那樣設置生存週期呢?有了 Session 是否就完全拋棄 Cookie 呢?我想說,結合 Cookie 來使用 Session 纔是最方便的。
Session 是如何來判斷客戶端用戶的呢?它是通過 Session ID 來判斷的,什麼是 Session ID,就是那個 Session 文件的文件名,Session ID 是隨機生成的,因此能保證唯一性和隨機性,確保 Session 的安全。一般如果沒有設置 Session 的生存週期,則 Session ID 存儲在內存中,關閉瀏覽器後該 ID 自動註銷,重新請求該頁面後,重新註冊一個 Session ID。
如果客戶端沒有禁用 Cookie,則 Cookie 在啓動 Session 會話的時候扮演的是存儲 Session ID 和 Session 生存期的角色。
我們來手動設置 Session 的生存期:
session_start();
// 保存一天
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");
?>
其實 Session 還提供了一個函數 session_set_cookie_params(); 來設置 Session 的生存期的,該函數必須在 session_start() 函數調用之前調用:
// 保存一天
$lifeTime = 24 * 3600;
session_set_cookie_params($lifeTime);
session_start();
$_SESSION["admin"] = true;
?>
如果客戶端使用 IE 6.0 , session_set_cookie_params(); 函數設置 Cookie 會有些問題,所以我們還是手動調用 setcookie 函數來創建 cookie。
假設客戶端禁用 Cookie 怎麼辦?沒辦法,所有生存週期都是瀏覽器進程了,只要關閉瀏覽器,再次請求頁面又得重新註冊 Session。那麼怎麼傳遞 Session ID 呢?通過 URL 或者通過隱藏表單來傳遞,PHP 會自動將 Session ID 發送到 URL 上,URL 形如:http://www.openphp.cn/index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669,其中 URL 中的參數 PHPSESSID 就是 Session ID了,我們可以使用 $_GET 來獲取該值,從而實現 Session ID 頁面間傳遞。
// 保存一天
$lifeTime = 24 * 3600;
// 取得當前 Session 名,默認爲 PHPSESSID
$sessionName = session_name();
// 取得 Session ID
$sessionID = $_GET[$sessionName];
// 使用 session_id() 設置獲得的 Session ID
session_id($sessionID);
session_set_cookie_params($lifeTime);
session_start();
$_SESSION["admin"] = true;
?>
對於虛擬主機來說,如果所有用戶的 Session 都保存在系統臨時文件夾裏,將給維護造成困難,而且降低了安全性,我們可以手動設置 Session 文件的保存路徑,session_save_path()就提供了這樣一個功能。我們可以將 Session 存放目錄指向一個不能通過 Web 方式訪問的文件夾,當然,該文件夾必須具備可讀寫屬性。
// 設置一個存放目錄
$savePath = "./session_save_dir/";
// 保存一天
$lifeTime = 24 * 3600;
session_save_path($savePath);
session_set_cookie_params($lifeTime);
session_start();
$_SESSION["admin"] = true;
?>
同 session_set_cookie_params(); 函數一樣,session_save_path() 函數也必須在 session_start() 函數調用之前調用。
我們還可以將數組,對象存儲在 Session 中。操作數組和操作一般變量沒有什麼區別,而保存對象的話,PHP 會自動對對象進行序列化(也叫串行化),然後保存於 Session 中。下面例子說明了這一點:
class person
{
var $age;
function output() {
echo $this->age;
}
function setAge($age) {
$this->age = $age;
}
}
?>
setage.php
session_start();
require_once "person.php";
$person = new person();
$person->setAge(21);
$_SESSION['person'] = $person;
echo "check here to output age";
?>
output.php
// 設置回調函數,確保重新構建對象。
ini_set('unserialize_callback_func', 'mycallback');
function mycallback($classname) {
$classname . ".php";
}
session_start();
$person = $_SESSION["person"];
// 輸出 21
$person->output();
?>
當我們執行 setage.php 文件的時候,調用了 setage() 方法,設置了年齡爲 21,並將該狀態序列化後保存在 Session 中(PHP 將自動完成這一轉換),當轉到 output.php 後,要輸出這個值,就必須反序列化剛纔保存的對象,又因爲在解序列化的時候需要實例化一個未定義類,所以我們定義了以後回調函數,自動包含 person.php 這個類文件,因此對象被重構,並取得當前 age 的值爲 21,然後調用 output() 方法輸出該值。
另外,我們還可以使用 session_set_save_handler 函數來自定義 Session 的調用方式。
通常情況下,在網站上某一個頁面中的變量(指服務器端變量)是不能在下一頁中用的,有了session就可以在多個網頁中保存信息,傳遞值,Session甚至不可以跨站點傳值。session中註冊的變量可以作爲全局變量使用。這樣我們就可以將session用於用戶身份認證,程序狀態記錄,頁面之間參數傳遞。
那麼在PHP3中是如何實現session的?
php3本身是沒有實現session功能的,我們只有用其他的方法來實現,這其中最有名的要算phplib了。phplib最基本的功能包括用戶認證、Session管理、權限及數據庫的抽象化。下面我們就講述一下如何用phplib實現session。
1、首先安裝phplib(環境爲win2000+php3.0.16+Apache1.3.12+phplib7.2c+mysql3.23.21 for win32)
首先將phplib解開,裏面有一個"php"目錄,將這個目錄拷貝到Apache的安裝目錄下。例如:Apache安裝在d:/Apache 目錄下,那麼就將"php"目錄拷貝到d:/Apache,並將phplib目錄的pages目錄下(不包括目錄本身)的文件和目錄一起拷貝到d:/Apache/htdocs下。
phplib的類庫需要根據系統進行初始化,可能需要修改local.inc文件,其中包含着一些基本參數,可以根據自己機器的實際情況來進行修改。
將d:/Apache/php/prepend.php文件中的一段程序改爲如下樣子:
if (!isset($_PHPLIB) or !is_array($_PHPLIB)) {
$_PHPLIB["libdir"] = "d:/Apache/php/"; //放phplib下php目錄的路徑
}
修改d:/Apache/php/local.inc文件:
class DB_Example extends DB_Sql {
var $Host = "localhost"; //mysql數據庫所在主機名
var $Database = "test"; //數據庫名
var $User = "root"; //數據庫用戶名
var $Password = "1234567"; //數據庫用戶密碼
}
最後根據phplib目錄下的stuff子目錄中的create_database.mysql文件生成初始表。
由於每一個使用phplib的頁面首先必須可以找到運行phplib所必需的類庫文件,我們可以在php.ini中設置auto_prepend變量來支持,phplib中包含一個prepend.php文件,並將auto_prepend指定爲"d:/Apache/php/prepend.php"(帶引號)後,各頁面就會自動包含phplib類庫,我們還可以將phplib類庫所在目錄加進include變量中,以便可以找到這些文件。
2、調用page_open()函數
在每一個使用phplib的頁面中,必須首先調用page_open函數進行初始化,例如:
page_open(array("sess" => "Test_Session"));
?>
數組變量(sess)用來初始化一些狀態保存對象,這裏應該注意:必須使用phplib內置名(sess),這些內置名是在local.inc中所定義的.。
因爲phplib使用了Cookies來保存狀態信息,所以page_open()函數必須在頁面內容輸出到瀏覽器之前被調用。php腳本最後應以page_close()結束,這將會將有關狀態數據寫回到數據庫中,否則變量會丟失。
3、具體使用。
註冊一個變量後即可在隨後的頁面中使用它,直至session結束。方法:
register( "varname"); ?>
注意,這裏的varname不是變量值,而是變量名,可以先指定變量名,隨後再賦值。你在某個頁面中可以改變變量的值,隨後的頁面訪問該變量時會得到改變後的值。變量的類型是多樣的,可以是一個字符串,一個數字,一個數組。舉例來說明:
第一頁:
page_open(array("sess" => "Test _Session"));
$sess->register( "welcome"); //註冊變量$welcome,注意不需要加$
$welcome="Hello,PHP world!";
……
page_close();
?>
第二頁:
page_open();//開始session
echo $welcome;//顯示第一頁中定義的$welcome
page_close();//保存狀態信息
?>
註冊完一個變量,當頁面最後調用page_close()函數後,各個session變量會被寫回到數據庫中。如果忘記調用page_close()函數的話,變量就不會被寫回數據庫,這樣將出現不可預知的後果。當變量被使用完畢,不再需要用到時,可以調用以下函數將變量刪除:
page_open(array("sess" => "Test _Session"));
……
$sess->unregister( "variable_name");
……
page_close();
?>
在PHP4版本中是如何實現session的?
php4的session也靠cookies保存session id,用文件系統保存變量(默認情況下),因此,它的session變量不能保存對象。當然也可以將session保存在數據庫中。
在php4中有關session的函數很多(詳見php.ini配置一文),通常情況下我們只需要調用三個函數即可:sesssion_start()、session_register()、session_is_registered()。
在需要用到session的每一頁的最開始處調用session_start()函數, 例如:
$welcome="hello world !";
session_register("welcome");//註冊$welcome變量,注意沒有$符號
if(session_is_registered("welcome"))//檢查$welcome變量是否註冊
echo "welcome變量已經註冊了!";
else
echo "welcome變量還沒有註冊!";
?>
php4中session處理的定製
我們需要擴充6個函數:
sess_open($sess_path, $session_name);
這個函數被session處理程序調用來作初始化工作。
參數$sess_path對應php.ini文件中的session.save_path選項
參數$session_name對應php.ini中的session.name 選項。
sess_close();
這個函數在頁面結束執行並且session處理程序需要關閉時被調用
sess_read($key);
這個函數在session處理程序讀取指定session鍵值($key)時,檢索並返回標識爲$key的session數據.(注意:序列化是將變量或對象在程序結束或需要時保存在文件中,在下次程序運行或需要時再調入內存的技術,有別於只保存數據的方法。)
sess_write($key, $val);
這個函數據在session處理程序需要將數據保存時調用,這種情況經常在程序結束時發生。它負責將數據保存在下次能用sess_read($key)函數檢索的地方。
sess_destroy($key);
這個函數在需要消毀session時。它負責刪除session並且清除環境。
sess_gc($maxlifetime);
這個函數負責清理碎片。在這種情況下,它負責刪除過時的session數據。session處理程序會偶爾調用它們。
定製程序可以用mysql數據庫或DBM文件保存session數據,視具體的情況而定。如果使用mysql作支持,那還需要進行以下的步驟:
首先在mysql中創建一個sessions數據庫,並且創建一個sessions表:
mysql> Create DATABASE sessions;
mysql> GRANT select, insert, update, delete ON sessions.* TO phpsession@localhost
-> IDENTIFIED BY 'phpsession';
mysql> Create TABLE sessions (
-> sesskey char(32) not null,
-> expiry int(11) unsigned not null,
-> value text not null,
-> PRIMARY KEY (sesskey)
-> );
下一步,修改session_mysql.php文件的$SESS_DB* 變量使其匹配你機器上的數據庫設置:
$SESS_DBHOST = "localhost"; /* 數據庫主機名 */
$SESS_DBNAME = "sessions"; /* 數據庫名 */
$SESS_DBUSER = "phpsession"; /* 數據庫用戶名 */
$SESS_DBPASS = "phpsession"; /* 數據庫密碼 */
$SESS_DBH = "";
$SESS_LIFE = get_cfg_var("session.gc_maxlifetime");
……//定製函數
session_set_save_handler( "sess_open", "sess_close", "sess_read", "sess_write", "sess_destroy", "sess_gc");
?>
定製使用dbm文件時的接口 :
$SESS_DBM = "";
$SESS_LIFE = get_cfg_var("session.gc_maxlifetime");
……//定製函數
session_set_save_handler("sess_open", "sess_close", "sess_read", "sess_write", "sess_destroy", "sess_gc");
?>
session定製的測試代碼:
……
if ($handler == "dbm") include("session_dbm.php");//使用何種接口
elseif ($handler == "mysql") include("session_mysql.php");
else ……
session_start();
session_register("count");
……
?>
在身份驗證中,怎樣應用Session?
Session可以用於用戶認證 :
驗證用戶是否合法:
session_start();
……//驗證過程
session_register("reguser");
?>
在另一頁面中檢查用戶是否登錄
session_start();
if(isset($reguser)&&$reguser!=""){//如果已經登錄
echo "親愛的用戶,歡迎你";
}else{//如果沒有登錄
echo "請先註冊!";
}
?>
用戶退出登錄:
session_destroy();
……
?>
如何實現多session併發運行?
問題提出:我在爲所在單位編寫一個進,這樣在我的程序中的每個session就各就各位,不再混亂了。
下面把我的源代碼公佈,方便也有同樣的問題的朋友多一個解決方法。
//Start a PHP session to preserve variables.
if ( empty($mysessionname) ) {
$micro = microtime();
$micro = str_replace(" ","",$micro); // strip out the blanks
$micro = str_replace(".","",$micro); // strip out the periods
$mysessionname = "po_maint" . $micro;
}
session_name($mysessionname);
session_start();
mysessionname爲頁面間唯一的sessionname傳遞變量,如果你也用到這個名字必須把上述程序做個小小的改動。Mysessionname不能爲session的內部變量名,因爲他在session開始之前就已經存在了。Mysessionname也不能用cookie方式存放,因爲多個session肯定會覆蓋掉原先的cookie文件。你可以用隱含表單的域來保存它。這樣就不會有問題。