Heim >php教程 >php手册 >PHP session的详细分析

PHP session的详细分析

WBOY
WBOYOriginal
2016-06-13 10:47:161038Durchsuche

1.PHP session 工作原理
 Session文件储存于服务器端,,默认情况下SESSION 文件保存的目录由session.save_path 指定,文件名以sess_ 为前缀,后跟SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。可以根据客户端提供的session id来得到用户的文件,取得变量的值,session id可以使用客户端的Cookie或者Http1.1协议的Query_String(就是访问的URL的“?”后面的部分)来传送给服务器,然后服务器读取Session的目录。也就是说,session id是取得存储在服务上的session变量的身份证。
 当代码session_start();运行的时候,就在服务器上产生了一个session文件,随之也产生了与之唯一对应的一个session id,定义session变量以一定形式存储在刚才产生的session文件中。通过session id,可以取出定义的变量。跨页后,为了使用session,你必须又执行session_start();将又会产生一个session文件,与之对应产生相应的session id,用这个session id是取不出前面提到的第一个session文件中的变量的,因为这个session id不是打开它的“钥匙”。如果在session_start();之前加代码session_id($session id);将不产生新的session文件,直接读取与这个id对应的session文件。
 2. Session常见函数及用法
 2.1 Session_start(): 开始一个会话或者返回已经存在的会话。
 这个函数没有参数,且返回值均为true。如果你使用基于cookie的session,那么在使用Session_start()之前浏览器不能有任何输出.可以在php.ini里启动session.auto_start=1,这样就无需每次使用session之前都要调用session_start()。但启用该选项也有一些限制,如果确实启用了session.auto_start,则不能将对象放入会话中,因为类定义必须在启动会话之前加载以在会话中重建对象。
 2.2 注册SESSION变量 :
 PHP5使用$_SESSION[‘xxx’]=xxx注册SESSION全局变量。注意session_register(),
 session_unregister ,session_is_registered在php5下不再使用,除非在php.ini里把
 register_globle设为on,不过出于安全考虑,强烈建议关闭register_globle。
 HTTP_SESSION_VARS也不提倡使用了,官方建议用$_SESSION代替之。
 Page1.php
   session_start();                           //使用SESSION前必须调用该函数。
 $_SESSION[‘name’]=”我是黑旋风李逵!”;   //注册一个SESSION变量
 $_SESSION[‘passwd’]=”mynameislikui”;
 $_SESSION[‘time’]=time();
 //如果客户端支持cookie,可通过该链接传递session到下一页。
 echo '
通过COOKIE传递SESSION';
 //客户端不支持cookie时,使用该办法传递session.
 echo '
通过URL传递SESSION';
 Page2.php
   session_start();
 echo $_SESSION['name'];
 echo $_SESSION['passwd'];
 echo date('Y m d H:i:s', $_SESSION['time']);
 echo '
返回上一页';
 ?>
 2.3 session_id ([ string $id ] ):Get and/or set the current session id
 php5中既可以使用session_id(),也可以通过附加在url上的SID取得当前会话的session_id和session_name。
 如果session_id()有具体指定值的话(即指定了参数$id),将取代当前的session_id值。使用该函数前必须启动会话:session_start();
 例子:手动设置Session 的生存期:
   session_start();
 // 保存一天
 $lifeTime = 24 * 3600;
 setcookie(session_name(), session_id(), time() + $lifeTime, "/");
 ?>
 其实Session 还提供了一个函数session_set_cookie_params(); 来设置Session 的生存期的,该函数必须在session_start() 函数调用之前调用:
   // 保存一天
 $lifeTime = 24 * 3600;
 session_set_cookie_params($lifeTime);
 session_start();
 $_SESSION["admin"] = true;
 ?>
 如果客户端使用IE 6.0 ,session_set_cookie_params(); 函数设置Cookie 会有些问题,所以我们还是手动调用setcookie 函数来创建cookie。
 2.4 检查session是否存在?
 在以往的php版本中通常使用session_is_register()检查session是否存在,如果您使用$_SESSION[‘XXX’]=XXX来注册会话变量,则session_is_register()函数不再起作用。你可以使用
 isset($_SESSION[‘xxx’])来替代。
 2.5更改session_id session_regenerate_id([bool $delete_old_session]) 更改成功则返回true,失败则返回false。
      使用该函数可以为当前session更改session_id,但默认不改变当前session的其他信息,除非$delete_old_session为true。例如:
   session_start();
 $old_sessionid = session_id();
 session_regenerate_id();
 $new_sessionid = session_id();
 echo "原始SessionID: $old_sessionid
";
 echo "新的SessionID: $new_sessionid
";
 echo"

";<br>
 print_r($_SESSION);<br>
 echo"
";
 ?>
 2.6 session_name() 返回当前session的name或改变当前session的name。如果要改变当前session的name,必须在session_start()之前调用该函数。注意:session_name不能只由数字组成,它至少包含一个字母。否则会在每时每刻都生成一个新的session id.
 session改名示例:
   $previous_name = session_name("WebsiteID");
 echo "新的session名为:$previous_name
";
 ?>
 
2.7 如何删除session
 (1) unset ($_SESSION['xxx']) 删除单个session,unset($_SESSION['xxx']) 用来unregister一个已注册的session变量。其作用和session_unregister()相同。session_unregister()在PHP5中不再使用,可将之打入冷宫。
 unset($_SESSION) 此函数千万不可使用,它会将全局变量$_SESSION销毁,而且还没有可行的办法将其恢复。用户也不再可以注册$_SESSION变量。
 (2) $_SESSION=array() 删除多个session
 (3) session_destroy()结束当前的会话,并清空会话中的所有资源。该函数不会unset和当前session相关的全局变量(globalvariables),也不会删除客户端的session cookie.PHP默认的session是基于cookie的,如果要删除cookie的话,必须借助setcookie()函数。
 下面是PHP官方关于删除session的案例:
   // 初始化session.
 session_start();
 /*** 删除所有的session变量..也可用unset($_SESSION[xxx])逐个删除。****/
 $_SESSION = array();
 /***删除sessin id.由于session默认是基于cookie的,所以使用setcookie删除包含session id的cookie.***/
 if (isset($_COOKIE[session_name()])) {
 setcookie(session_name(), '', time()-42000, '/');
 }
 // 最后彻底销毁session.
 session_destroy();
 ?>
 由此我们可以得出删除Session的步骤:
 ①session_start()
 ②$_SESSION=array()/unset($_SESSION['xxx'])
 ③session_destroy()
 
3. Session跨页传递问题:
 3.1有两种方法传递一个会话ID:cookie URL 参数
 会话模块支持这两种方法。cookie 更优化,但由于不总是可用,也提供替代的方法。第二种方法直接将会话ID 嵌入到URL 中间去。
 PHP 可以透明地转换页面之间的链接。如果使用低于PHP 4.2的版本,则需要手工在编译PHP 时激活,在Unix 下,用--enable-trans-sid 配置选项。如果此配置选项和运行时选项session.use_trans_sid 都被激活(修改php.ini),相对URI 将被自动修改为包含会话ID。
 Note: 非相对的URL 被假定为指向外部站点,因此没有附加SID,因为这可能是个安全隐患将SID 泄露给不同的服务器。
 另外,也可以用常量SID。如果客户端没有发送会话cookie ,则SID 的格式为session_name=session_id,否则就为一个空字符串。因此可以无条件将其嵌入到URL 中去。
 3. 2 解决session跨页传递问题的三条途径
 ①客户端禁用了cookie。
 ②浏览器出现问题,暂时无法存取cookie
 ③php.ini中的session.use_trans_sid = 0或者编译时没有打开--enable-trans-sid选项
 当客户端的Cookie被禁用或出现问题时,PHP会自动把session id附着在URL中,这样再通过session id就能跨页使用session变量了。但这种附着也是有一定条件的:“php.ini中的session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项”;
 明白了以上的道理,我们就可以得出解决session跨页传递问题的三条途径:
 1、设置php.ini中的session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项,让PHP自动跨页传递session id。
 (有人说:但在测试的时候,修改php.ini哪种方式在页面中用header('location: xx.php') 和javascript window.location=xx.php 情况下没有达到想要的效果。目前发现在xx中正常。)
 2、手动通过URL传值、隐藏表单传递session id。
 3、用文件、数据库等形式保存session_id,在跨页过程中手动调用。
 下面举例说明:
 第一种情况:
 page1.php
   session_start();
 $_SESSION['var1']="中华人民共和国";
 $url="下一页";
 echo $url;
 ?>
 page2.php
   session_start();
 echo "传递的session变量var1的值为:".$_SESSION['var1'];
 ?>
 运行以上代码,在客户端cookie正常的情况下,应该可以在得到结果“中华人民共和国”。
 现在你手动关闭客户端的cookie,再运行,可能得不到结果了吧。如果得不到结果,再“设置php.ini中的session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项”,又得到结果“中华人民共和国”
 第二种途径:
 s1.php
   session_start();
 $_SESSION['var1']="中华人民共和国";
 $sn = session_id();
 //PHP5定义了一个常量SID来表示session_id(),$url还可以写成$url='下一页';
 $url="下一页";
 echo $url;
 ?>
 
 
s2.php
   session_id($_GET['s']);
 session_start();
 echo "传递的session变量var1的值为:www.2cto.com".$_SESSION['var1'];
 ?>
 
第三种途径:
 login.html
 
 
 
 Login
 
 
 
 请登录:
 

 用户名:

 口 令:

 
 

 
 
 
mylogin1.php
   $name=$_POST['name'];
 $pass=$_POST['pass'];
 if(!$name || !$pass) {
 echo "用户名或密码为空,请重新登录";
 die();
 }
 if (!($name=="laogong" && $pass=="123")) {
 echo "用户名或密码不正确,请重新登录";
 die();
 }
 //注册用户
 ob_start();                             // Turn on output buffering
 session_start();
 $_SESSION['user']= $name;
 $psid=session_id();
 $fp=fopen("e:\\tmp\\phpsid.txt","w+");
 fwrite($fp,$psid);
 fclose($fp);
 //身份验证成功,进行相关操作
 echo "已登录
";
 echo "下一页";
 ?>
 mylogin2.php
 
 $fp=fopen("e:\\tmp\\phpsid.txt","r");
 $sid=fread($fp,1024);
 fclose($fp);
 session_id($sid);
 session_start();
 if(isset($_SESSION['user']) && $_SESSION['user']="laogong" ) {
    echo "已登录!";
 }
 else {
 //成功登录进行相关操作
 echo "未登录,无权访问";
 echo "请登录后浏览";
 die();
 }
 ?>
 4.关于多服务器共享同一session的解决办法
    稍大一些的网站,通常都会有好几个服务器,每个服务器运行着不同功能的模块,使用不同的二级域名,而一个整体性强的网站,用户系统是统一的,即一套用户名、密码在整个网站的各个模块中都是可以登录使用的。各个服务器共享用户数据是比较容易实现的,只需要在后端放个数据库服务器,各个服务器通过统一接口对用户数据进行访问即可。但还存在一个问题,就是用户在这个服务器登录之后,进入另一个服务器的别的模块时,仍然需要重新登录,这就是一次登录,全部通行的问题,映射到技术上,其实就是各个服务器之间如何实现共享SESSION 数据的问题。
 想要共享SESSION 数据,那就必须实现两个目标:一个是各个服务器对同一个客户端产生的SESSION ID 必须相同,并且可通过同一个COOKIE 进行传递,也就是说各个服务器必须可以读取同一个名为PHPSESSID 的COOKIE;另一个是SESSION 数据的存储方式/位置必须保证各个服务器都能够访问到。简单地说就是多服务器共享客户端的SESSION ID,同时还必须共享服务器端的SESSION 数据。
 第一个目标的实现其实很简单,只需要对COOKIE 的域(domain)进行特殊地设置即可,默认情况下,COOKIE 的域是当前服务器的域名/IP 地址,而域不同的话,各个服务器所设置的COOKIE 是不能相互访问的,如www.2cto.com 的服务器是不能读写www.bbb.com 服务器设置的COOKIE 的。这里我们所说的同一网站的服务器有其特殊性,那就是他们同属于同一个一级域,如:aaa.infor96.com 和www.infor96.com 都属于域.infor96.com,那么我们就可以设置COOKIE 的域为.infor96.com,这样aaa.infor96.com、www.infor96.com 等等都可以访问此COOKIE。PHP 代码中的设置方法如下:
 CODE:
 ini_set('session.cookie_domain', '.infor96.com');
 第二个目标的实现可以使用文件共享方式,如NFS 方式,但设置、操作上有些复杂。我们可以参考先前所说的统一用户系统的方式,即使用数据库来保存SESSION 数据,这样各个服务器就可以方便地访问同一个数据源,获取相同的SESSION 数据了。
 关于如何将session放入数据库可以见《php 程序设计》,和以下网页
http://www.eb163.com/article.php?id=75&PHPSESSID=d226cc07cec0580ec7dad47119ee4667摘自 河大李信的Crazy Coding人生
 
 
 
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn