Heim >php教程 >php手册 >PHP会话控制

PHP会话控制

WBOY
WBOYOriginal
2016-06-13 09:39:55865Durchsuche

会话控制的思想是指能够在网站中根据一个会话跟踪用户。 1 cookie 1.1 什么是cookie

Set-Cookie: NAME = VALUE; [expires = DATE;] [path = PATH;] [domain = DOMAIN_NAME;] [secure]
  :如果失效日期不设置,cookie将永远有效,如果不手动将其删除的话)。path和domain域合起来指定URL或与cookie相关的URL。secure关键字的意思是在普通的HTTP链接中不发送cookie。   1.2 通过PHP设置cookie 使用setcookie()函数在PHP中手动设置cookie。函数原型如下:
bool setcookie(string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])
  :cookie标题头必须,否则就无效(这是cookie的限制,而不是PHP的限制)。   1.3 在会话中使用cookie 1.4 存储会话ID 2 实现简单的会话 2.1 开始一个会话 2.2 注册一个会话变量 2.3 使用会话变量 2.4 注销变量与销毁会话 ID   3一个简单的会话(实例)   auto-main.php
session_start();   if(isset ($_POST['userid' ]) && isset($_POST['password'])){       $userid = $_POST[ 'userid'];       $password = $_POST[ 'password'];              $db_conn = new mysqli('localhost' , 'root' , '' , 'test' );              if(mysqli_connect_error()){              echo "Connection to database failed:" . mysqli_connect_errno();              exit();       }              $query = "select * from authorized_users" . " where name = '$userid'" . "and password = ' $password'" ;         $result = $db_conn -> query($query);              if($result -> num_rows > 0){             $_SESSION[ 'valid_user'] = $userid;       }       $db_conn -> close(); }   ?> html>       body >              h1 >Home Page h1 >                                  if( isset($_SESSION[ 'valid_user'])){                          echo 'You are logged in as: ' . $_SESSION['valid_user'] . '
'
 ;                          echo 'Log out
'
;                   } else {                          if( isset($userid)){ //失败                                echo 'Could not log you in.
'
;                         } else {                                echo 'You are not logged in.
'
;                         }                   }                                       echo '
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
Userid:
Password:
                        ' ;              ?>              br />              a href ="members-only.php"> Members section a>       body > html>
  3.2 members_only.php
session_start();   echo "

Members only

"
;   if(isset ($_SESSION['valid_user' ])){       echo "

You are logged in as "

 . $_SESSION['valid_user' ] . "";       echo "

Member only content goes here

"
 ; } else {       echo "

You are not logged in.

"
 ; }   echo "Back to main page"; ?>
  3.3 logout.php
session_start();   $old_user = $_SESSION['valid_user']; unset($old_user);   session_destroy();   ?> html>       body >              h1 >Log out h1 >                                  if(! empty($old_user)){                          echo 'Logged out.
'
;                   } else {                          echo 'You were not logged in, and so have not been logged out.
'
;                   }              ?>              a href ="auto-main.php"> Back to main page a>       body > html>
  4 session 4.1 影响session数据的PHP函数或事件

session_start() 初始化session,生命周期的开始。

     session初始化操作,声明一个全局数组$_SESSION,映射寄存在内存的session数据。如果session文件已经存在,并且保存有session数据,session_start()则会读取session数据,填入$_SESSION中,开始一个新的session生命周期。
(2) $_SESSION       在session生命周期内,使用全局变量名称将注全局变量注册到当前session中。所谓注册,就是将变量填入$_SESSION中,值为NULL。它不会对session文件进行任何IO操作,只是影响$_SESSION变量。注意,它的正确写法是session_register(‘varname’),而不是session_register($varname) (4) session_unregister()       与session_register操作正好相反,即在session生命周期,从当前session注销指定变量。同样只影响$_SESSION,并不进行任何IO操作。
(5) session_unset()
      在session生命周期,从当前session中注销全部session数据,让$_SESSION成为一个空数组。它与unset($_SESSION)的区别在于:unset直接删除$_SESSION变量,释放内存资源;另一个区别在于,session_unset()仅在session生命周期能够操作$_SESSION数组,而unset()则在整个页面(page)生命周期都能操作$_SESSION数组。session_unset()同样不进行任何IO操作,只影响$_SESSION数组。
(6) session_destroy()
      如果说session_start()初始化一个session的话,而它则注销一个session。意味着session生命周期结束了。在session生命周期结整后,session_register, session_unset, session_register都将不能操作$_SESSION数组,而$_SESSION数组依然可以被unset()等函数操作。这时,session意味着是未定义的,而$_SESSION依然是一个全局变量,他们脱离了关映射关系。
通过session_destroy()注销session,除了结束session生命周期外,它还会删除sesion文件,但不会影响当前$_SESSION变量。即它会产生一个IO操作。
(7) session_regenerate_id()
      调用它,会给当前用户重新分配一个新的session id。并且在结束当前页面生命周期的时候,将当前session数据写入session文件。前提是,调用此函数之前,当前session生命周期没有被终止(参考第9点)。它会产生一个IO操作,创建一个新的session文件,创建新的session文件的是在session结束之前,而不是调用此函数就立即创建新的session文件。
(8) session_commit()
      session_commit()函数是session_write_close()函数的别名。它会结束当前session的生命周期,并且将session数据立即强制写入session文件。不推荐通过session_commit()来手工写入session数据,因为PHP会在页面生命周期结束的时候,自动结束当前没有终止的session生命周期。它会产生一个IO写操作
(9) end session
      结束session,默认是在页面生命周期结束的之前,PHP会自动结束当前没有终止的session。但是还可以通过session_commit()与session_destroy()二个函数提前结束session。不管是哪种方式,结束session都会产生IO操作,分别不一样。默认情况,产生一个IO写操作,将当前session数据写回session文件。session_commit()则是调用该函数那刻,产生一个IO写操作,将session数据写回session文件。而session_destroy()不一样在于,它不会将数据写回session文件,而是直接删除当前session文件。有趣的是,不管是session_commit(),还是session_destroy()都不会清空$_SESSION数组,更不会删除$_SESSION数组,只是所有session_*函数不能再操作session数据,因为当前的session生命周期终止了,即不能操作一个未定义对象。
 
4.2总结 1, 用户注销web应用系统,最好的调用方式依次是 session_unset();  session_destroy();  unset($_SESSION);
2, 尽量将键与值填入$_SESSION,而不推荐使用session_register()。同样,尽量使用unset($_SESSION[‘var’]),而不使用session_unregister()。
3, 对于可能产生大量session的WEB应用,推荐使用的session.save_path的格式是session.save_path=”N:/path”。注意:这些目录需要手工创建,并且有httpd守护进程属主写权限。这样做可以获得更好的性能
4, 如果调用了session_regenerate_id()给用户分配了新的session id。该函数并不会主动删除旧的session文件,需要定时清理旧的session文件,这样更优化。
5, 尽量不要使用session_commit()提交sessioin数据,因为它同时会结束当前session,PHP默认会在页面生命周期的时候提交session数据到session文件
 
     session终究是因为管理用户状态信息才存在的。我们曾探讨过session id的意义:每个来访问用户都会被分配一个唯一的session id,用于区分其它用户的session数据。换句话说,session id是用户表明身份的一种标识,就像入场券一样。用户一旦从被分配了session id之后的每次访问(http请求)都会携带这个session id给服务端,用于加载该用户的session数据。那么,通过什么方式传给服务端?这是我们这节探讨的内容。
     用户端与服务端的web通信协议是http。而PHP通过http取得用户数据惯用的三种方法分别是:POST方法、GET方法还有Cookie。而PHP默认传递方法正是Cookie,也是最佳方法。只有在客户端不支持Cookie的时候(浏览器禁用了Cookie功能)才会通过GET方法来传递session_id,即通过在URL的query_string部分传递session id。
     确定了传递方法,我们还有必要清楚一下session id的传递过程。用户通过浏览器访问网页,将URL输入地址栏回车,浏览器发出请求,在调用sockect send之前浏览器引擎会搜索有效的Cookies记录封装在http请求头的Cookie字段,一同发送出去。服务端器接收到请求后,交给PHP处理。这时,session初始化函数如果在$_COOKIE中没有找到以session_name()作为键值存储的生素(值为session id),则会以为用户是第一次访问web。作为第一次访问的用户,session初始化函数总会随机生成一个session_id并且通过setcookie()函数调用将新生成的session_id以”sesseson_name = session_id”的格式填入http响应头Set-Cookie字段,发送给客户端(这样接下来的请求,http请求头Cookie字段都会携带该Cookie记录给web服务器)。如果初始化函数发现用户端Cookies中已定义了存在$_COOKIE[‘sess_name’],则会加载与$_COOKIE[‘sess_name’]相对应的session文件($_COOKIE[‘sess_name’]就是session ID)。如果用户Cookie记录过期,则会被浏览器删除。之后的下一次请求,服务器会以为用户又是第一次访问,如此循环。
 
4.4 Session回收 4.5 总结 1, PHP使用Cookie的方法传递session id。尽量不要使用GET方法传递session id,因为这样很不安全。 2, 可以通过setcookie()的方法,将客户端的session id的Cookie记录删除。 3, PHP GC进程由session初始化启动。但不是每一次用户请求都会被启动,它的启动概率默认是1/1000。过于频繁访问的网站,并发量大的网站,可减小PHP GC的启动频率。PHP GC回收session会降低php的执行效率。 参考:

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn