由于 Session 是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容。实际上在服务器端的 Session 文件,PHP 自动修改 session 文件的权限,只保留了系统读和写权限,而且不能通过 ftp 修改,所以安全得多。PHPChina 开源社区门户 对于 Cookie 来说,假设我们要验证用户是否登陆,就必须在 Cookie 中保存用户名和密码(可能是 md5 加密后字符串),并在每次请求页面的时候进行验证。如果用户名和密码存储在数据库,每次都要执行一次数据库查询,给数据库造成多余的负担。因为我们并不能只做一次验证。为什么呢?因为客户端 Cookie 中的信息是有可能被修改的。假如你存储 $admin 变量来表示用户是否登陆,$admin 为 true 的时候表示登陆,为 false 的时候表示未登录,在第一次通过验证后将 $admin 等于 true 存储在 Cookie,下次就不用验证了,这样对么?错了,假如有人伪造一个值为 true 的 $admin 变量那不是就立即取的了管理权限么?非常的不安全。
而 Session 就不同了,Session 是存储在服务器端的,远程用户没办法修改 session 文件的内容,因此我们可以单纯存储一个 $admin 变量来判断是否登陆,首次验证通过后设置 $admin 值为 true,以后判断该值是否为 true,假如不是,转入登陆界面,这样就可以减少很多数据库操作了。而且可以减少每次为了验证 Cookie 而传递密码的不安全性了(session 验证只需要传递一次,假如你没有使用 SSL 安全协议的话)。即使密码进行了 md5 加密,也是很容易被截获的。
当然使用 session 还有很多优点,比如控制容易,可以按照用户自定义存储等(存储于数据库)。我这里就不多说了。
session 在 PHP.ini 是否需要设置呢?一般不需要的,因为并不是每个人都有修改 PHP.ini 的权限,默认 session 的存放路径是服务器的系统临时文件夹,我们可以自定义存放在自己的文件夹里,这个稍后我会介绍。
开始介绍如何创建 session。非常简单,真的。
启动 session 会话,并创建一个 $admin 变量:
session_start();
// 声明一个名为 admin 的变量,并赋空值。
$_session["admin"] = null;
?>
执行完这个程序后,我们可以到系统临时文件夹找到这个 session 文件,一般文件名形如:sess_4c83638b3b0dbf65583181c2f89168ec,后面是 32 位编码后的随机字符串。用编辑器打开它,看一下它的内容:
admin|N;
一般该内容是这样的结构:
变量名|类型:长度:值;
并用分号隔开每个变量。有些是可以省略的,比如长度和类型。
我们来看一下验证程序,假设数据库存储的是用户名和 md5 加密后的密码:
$posts = $_POST;
// 清除一些空白符号
foreach ($posts as $key => $value)
{
$posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts["username"];
$query = “Select `username` FROM `user` Where `password` = ‘$password'”;
// 取得查询结果
$userInfo = $DB->getRow($query);
if (!empty($userInfo))
{
if ($userInfo["username"] == $username)
{
// 当验证通过后,启动 session
session_start();
// 注册登陆成功的 admin 变量,并赋值 true
$_session["admin"] = true;
}
else
{
die(“用户名密码错误”);
}
}
else
{
die(“用户名密码错误”);
}
我们在需要用户验证的页面启动 session,判断是否登陆:
// 防止全局变量造成安全隐患
$admin = false;
// 启动会话,这步必不可少
session_start();
// 判断是否登陆
if (isset($_SESSION["admin"]) && $_session["admin"] === true)
{
echo “您已经成功登陆”;
}
else
{
// 验证失败,将 $_session["admin"] 置为 false
$_session["admin"] = false;
die(“您无权访问”);
}
?>
是不是很简单呢?将 $_session 看成是存储在服务器端的数组即可,我们注册的每一个变量都是数组的键,跟使用数组没有什么分别。
如果要登出系统怎么办?销毁 session 即可。
// 这种方法是将原来注册的某个变量销毁
unset($_session["admin"]);
// 这种方法是销毁整个 session 文件
session_destroy();
?>
Session 能否像 Cookie 那样设置生存周期呢?有了 Session 是否就完全抛弃 Cookie 呢?我想说,结合 Cookie 来使用 session 才是最方便的。
Session 是如何来判断客户端用户的呢?它是通过 Session ID 来判断的,什么是 Session ID,就是那个 Session 文件的文件名,Session ID 是随机生成的,因此能保证唯一性和随机性,确保 Session 的安全。一般如果没有设置 Session 的生存周期,则 Session ID 存储在内存中,关闭浏览器后该 ID 自动注销,重新请求该页面后,重新注册一个 session ID。
如果客户端没有禁用 Cookie,则 Cookie 在启动 Session 会话的时候扮演的是存储 Session ID 和 session 生存期的角色。
我们来手动设置 session 的生存期:
// 保存一天
$lifeTime = 24 * 3600;
setcookie(session_name(),session_id(),time() + $lifeTime,“/”);
?>
其实 Session 还提供了一个函数 session_set_cookie_params(); 来设置 Session 的生存期的,该函数必须在 session_start() 函数调用之前调用:
$lifeTime = 24 * 3600;
session_set_cookie_params($lifeTime);
session_start();
$_session["admin"] = true;
?>
如果客户端使用 IE 6.0 , session_set_cookie_params(); 函数设置 Cookie 会有些问题,所以我们还是手动调用 setcookie 函数来创建 cookie。
假设客户端禁用 Cookie 怎么办?没办法,所有生存周期都是浏览器进程了,只要关闭浏览器,再次请求页面又得重新注册 Session。那么怎么传递 Session ID 呢?通过 URL 或者通过隐藏表单来传递,PHP 会自动将 session ID 发送到 URL 上,URL 形如:http://www.openPHP.cn /index.PHP?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669,其中 URL 中的参数 PHPSESSID 就是 Session ID了,我们可以使用 $_GET 来获取该值,从而实现 session ID 页面间传递。
$lifeTime = 24 * 3600;
// 取得当前 session 名,默认为 PHPSESSID
$sessionName = session_name();
// 取得 session ID
$sessionID = $_GET[$sessionName];
// 使用 session_id() 设置获得的 session ID
session_id($sessionID);
session_set_cookie_params($lifeTime);
session_start();
$_session["admin"] = true;
?>
对于虚拟主机来说,如果所有用户的 Session 都保存在系统临时文件夹里,将给维护造成困难,而且降低了安全性,我们可以手动设置 Session 文件的保存路径,session_save_path()就提供了这样一个功能。我们可以将 session 存放目录指向一个不能通过 Web 方式访问的文件夹,当然,该文件夹必须具备可读写属性。
$savePath = “./session_save_dir/”;
// 保存一天
$lifeTime = 24 * 3600;
session_save_path($savePath);
session_set_cookie_params($lifeTime);
session_start();
$_session["admin"] = true;
?>
同 session_set_cookie_params(); 函数一样,session_save_path() 函数也必须在 session_start() 函数调用之前调用。
我们还可以将数组,对象存储在 session 中。操作数组和操作一般变量没有什么区别,而保存对象的话,PHP 会自动对对象进行序列化(也叫串行化),然后保存于 session 中。下面例子说明了这一点:
{
var $age;
function output() {
echo $this->age;
}
function setAge($age) {
$this->age = $age;
}
}
?>
setage.PHP
require_once “person.PHP”;
$person = new person();
$person->setAge(21);
$_session['person'] = $person;
echo “check here to output age”;
?>
output.PHP
ini_set(‘unserialize_callback_func',‘mycallback');
function mycallback($classname) {
$classname . “.PHP”;
}
session_start();
$person = $_session["person"];
// 输出 21
$person->output();
?>
当我们执行 setage.PHP 文件的时候,调用了 setage() 方法,设置了年龄为 21,并将该状态序列化后保存在 session 中(PHP 将自动完成这一转换),当转到 output.PHP 后,要输出这个值,就必须反序列化刚才保存的对象,又因为在解序列化的时候需要实例化一个未定义类,所以我们定义了以后回调函数,自动包含 person.PHP 这个类文件,因此对象被重构,并取得当前 age 的值为 21,然后调用 output() 方法输出该值。PHP中session详解2 综述
Session指的就是用户在浏览某个网站时,从进入网站到浏览器关闭所经过的这段时间,也就是用户浏览这个网站所花费的时间。从上述的定义中我们可以看到,Session实际上是一个特定的时间概念。
一般来说,在网站上某一个页面中的变量(指服务器端变量,下同)是不能在下一页中用的,有了session就好办了。session中注册的变量可以作为全局变量使用。这样我们就可以将session用于用户身份认证,程序状态记录,页面之间参数传递。 在PHP3版本中是如何实现session的?
PHP3本身是没有实现session功能的,我们只有用其他的方法来实现,这其中最有名的要算PHPlib了。PHPlib最基本的功能包括用户认证、Session管理、权限及数据库的抽象化。下面我们就讲述一下如何用PHPlib实现session。 1、首先安装PHPlib(环境为win2000+PHP3.0.16+Apache1.3.12+PHPlib7.2c+MysqL3.23.21 for win32) 首先将PHPlib解开,里面有一个"PHP"目录,将这个目录拷贝到Apache的安装目录下。例如:Apache安装在d:\Apache 目录下,那么就将"PHP"目录拷贝到d:\Apache,并将PHPlib目录的pages目录下(不包括目录本身)的文件和目录一起拷贝到d:\Apache\htdocs下。 PHPlib的类库需要根据系统进行初始化,可能需要修改local.inc文件,其中包含着一些基本参数,可以根据自己机器的实际情况来进行修改。 将d:\Apache\PHP\prepend.PHP文件中的一段程序改为如下样子:
$_PHPLIB["libdir"] = "d:/Apache/PHP/"; //放PHPlib下PHP目录的路径
}
修改d:\Apache\PHP\local.inc文件:
class DB_Example extends DB_sql {
var $Host = "localhost"; //MysqL数据库所在主机名
var $Database = "test"; //数据库名
var $User = "root"; //数据库用户名
var $Password = "1234567"; //数据库用户密码
}
由于每一个使用PHPlib的页面首先必须可以找到运行PHPlib所必需的类库文件,我们可以在PHP.ini中设置auto_prepend变量来支持,PHPlib中包含一个prepend.PHP文件,并将auto_prepend指定为"d:/Apache/PHP/prepend.PHP"(带引号)后,各页面就会自动包含PHPlib类库,我们还可以将PHPlib类库所在目录加进include变量中,以便可以找到这些文件。 2、调用page_open()函数 在每一个使用PHPlib的页面中,必须首先调用page_open函数进行初始化,例如:
因为PHPlib使用了Cookies来保存状态信息,所以page_open()函数必须在页面内容输出到浏览器之前被调用。PHP脚本最后应以page_close()结束,这将会将有关状态数据写回到数据库中,否则变量会丢失。 3、具体使用。 注册一个变量后即可在随后的页面中使用它,直至session结束。方法:
<?PHP $sess->register( "varname"); ?>
注意,这里的varname不是变量值,而是变量名,可以先指定变量名,随后再赋值。你在某个页面中可以改变变量的值,随后的页面访问该变量时会得到改变后的值。变量的类型是多样的,可以是一个字符串,一个数字,一个数组。举例来说明:
第一页:
<?PHP
page_open(array("sess" => "Test _Session"));
$sess->register( "welcome"); //注册变量$welcome,注意不需要加$
$welcome="Hello,PHP world!";
……
page_close();
?>
第二页:
<?PHP
page_open();//开始session
echo $welcome;//显示第一页中定义的$welcome
page_close();//保存状态信息
?>
注册完一个变量,当页面最后调用page_close()函数后,各个session变量会被写回到数据库中。如果忘记调用page_close()函数的话,变量就不会被写回数据库,这样将出现不可预知的后果。当变量被使用完毕,不再需要用到时,可以调用以下函数将变量删除:
page_open(array("sess" => "Test _Session"));
……
$sess->unregister( "variable_name");
……
page_close();
?>
在PHP4中有关session的函数很多(详见PHP.ini配置一文),通常情况下我们只需要调用三个函数即可:sesssion_start()、session_register()、session_is_registered()。
在需要用到session的每一页的最开始处调用session_start()函数,例如:
<?session_start()?>
<html><body>
<?
$welcome="hello world !";
session_register("welcome");//注册$welcome变量,注意没有$符号
if(session_is_registered("welcome"))//检查$welcome变量是否注册
echo "welcome变量已经注册了!";
else
echo "welcome变量还没有注册!";
?>
</body></html>
PHP4中session处理的定制
我们需要扩充6个函数:
sess_open($sess_path,$session_name);
这个函数被session处理程序调用来作初始化工作。
参数$sess_path对应PHP.ini文件中的session.save_path选项
参数$session_name对应PHP.ini中的session.name 选项。
sess_close();
这个函数在页面结束执行并且session处理程序需要关闭时被调用
sess_read($key);
这个函数在session处理程序读取指定session键值($key)时,检索并返回标识为$key的session数据.(注意:序列化是将变量或对象在程序结束或需要时保存在文件中,在下次程序运行或需要时再调入内存的技术,有别于只保存数据的方法。)
sess_write($key,$val);
这个函数据在session处理程序需要将数据保存时调用,这种情况经常在程序结束时发生。它负责将数据保存在下次能用sess_read($key)函数检索的地方。
sess_destroy($key);
这个函数在需要消毁session时。它负责删除session并且清除环境。
sess_gc($maxlifetime);
这个函数负责清理碎片。在这种情况下,它负责删除过时的session数据。session处理程序会偶尔调用它们。
定制程序可以用MysqL数据库或DBM文件保存session数据,视具体的情况而定。如果使用MysqL作支持,那还需要进行以下的步骤:
首先在MysqL中创建一个sessions数据库,并且创建一个sessions表:
MysqL> CREATE DATABASE sessions;
MysqL> GRANT select,insert,update,delete ON sessions.* TO PHPsession@localhost
-> IDENTIFIED BY 'PHPsession';
MysqL> CREATE TABLE sessions (
-> sesskey char(32) not null,
-> expiry int(11) unsigned not null,
-> value text not null,
-> PRIMARY KEY (sesskey)
-> );
下一步,修改session_MysqL.PHP文件的$SESS_DB* 变量使其匹配你机器上的数据库设置:
<?
$SESS_DBHOST = "localhost"; /* 数据库主机名 */
$SESS_DBNAME = "sessions"; /* 数据库名 */
$SESS_DBUSER = "PHPsession"; /* 数据库用户名 */
$SESS_DBPASS = "PHPsession"; /* 数据库密码 */
$SESS_DBH = "";
$SESS_LIFE = get_cfg_var("session.gc_maxlifetime");
……//定制函数
session_set_save_handler( "sess_open","sess_close","sess_read","sess_write","sess_destroy","sess_gc");
?>
定制使用dbm文件时的接口 :
<?
$SESS_DBM = "";
$SESS_LIFE = get_cfg_var("session.gc_maxlifetime");
……//定制函数
session_set_save_handler("sess_open","sess_gc");
?>
session定制的测试代码:
<?PHP
……
if ($handler == "dbm") include("session_dbm.PHP");//使用何种接口
elseif ($handler == "MysqL") include("session_MysqL.PHP");
else ……
session_start();
session_register("count");
……
?>
在身份验证中,怎样应用Session?
Session可以用于用户认证 :
验证用户是否合法:
<?
session_start();
……//验证过程
session_register("reguser");
?>
在另一页面中检查用户是否登录
<?
session_start();
if(isset($reguser)&&$reguser!=""){//如果已经登录
echo "亲爱的用户,欢迎你";
}else{//如果没有登录
echo "请先注册!";
}
?>
用户退出登录:
<?
session_destroy();
……
?>
如何实现多session并发运行?
问题提出:我在为所在单位编写一个进销存系统中发现需要让多个用户可以同时进入一个PHP应用程序。原来设计的静态的唯一的session ID导致数据混乱。这样,动态生成一个唯一的session ID成为当务之急。
解决办法很简单:我用了PHP文件名+时间戳为唯一的session ID,这样在我的程序中的每个session就各就各位,不再混乱了。
下面把我的源代码公布,方便也有同样的问题的朋友多一个解决方法。
//Start a PHP session to preserve variables.
if ( empty($mysessionname) ) {
$micro = microtime();
$micro = str_replace(" ","",$micro); // strip out the blanks
$micro = str_replace(".",$micro); // strip out the periods
$mysessionname = "po_maint" . $micro;
}
session_name($mysessionname);
session_start();
程序注释:
用mysessionname为页面间唯一的sessionname传递变量,如果你也用到这个名字必须把上述程序做个小小的改动。Mysessionname不能为session的内部变量名,因为他在session开始之前就已经存在了。Mysessionname也不能用cookie方式存放,因为多个session肯定会覆盖掉原先的cookie文件。你可以用隐含表单的域来保存它。这样就不会有问题。