Session应该算是一个在项目开发中应用的比较多的个功能,用以跟踪用户相关信息的WEB应用程序。相对于cookie来说,可以将session理解为在服务器端保存用户数据的一种方式,不同于cookie的另一个主要特点是session是基于浏览器进程的(就是说1个用户打开2个浏
Session应该算是一个在项目开发中应用的比较多的个功能,用以跟踪用户相关信息的WEB应用程序。相对于cookie来说,可以将session理解为在服务器端保存用户数据的一种方式,不同于cookie的另一个主要特点是session是基于浏览器进程的(就是说1个用户打开2个浏览器窗口,可能会产生2个session)。默认情况下Session是保存在服务器的指定的某个目录下的,具体位置可查看PHP.INI
此图为WAMP的session保存地址
session_start(); $_SESSION['visits']++; print 'You have visited here '.$_SESSION['visits'].' times.';
运行上面的代码,每刷新一次,visits就会增加1,但无法跨浏览器,也就意味着如果你在新窗口打开此页面,访问次数显示为1。
PHP的Session能保持用户信息的秘诀就在于PHP为每个SESSION设置一个SESSION ID,并通过cookie保存到用户端,所以用户在刷新的时候,其实是将cookie中的 SESSION ID传递到服务器,然后在根据服务器上保持的用户信息反馈到用户端。默认情况下,如果用户的浏览器禁用了cookie功能,那么,SESSION ID 将通过URL传递(此方式存在安全风险,对于重要数据应避免此情况发生)
可以通过设置PHP.INI文件只允许通过cookie来传递SESSION ID,将session.user_only_cookies设置为off(上文截图的倒数第二行),如果是无法操作PHP.INI文件的情况下可以通过PHP代码实现
ini_set('session.use_only_cookies', true); session_start(); $salt = 'YourSpecialValueHere'; $tokenstr = (str) date('W') . $salt; $token = md5($tokenstr); if (!isset($_REQUEST['token']) || $_REQUEST['token'] != $token) { // 提示登录 exit; } $_SESSION['token'] = $token; output_add_rewrite_var('token', $token);
即便是采用了上述的措施,用户的SESSION ID保存到了cookie也还存在一种潜在风险,攻击者可能通过获取用户的cookie的数据后通过session id获取用户数据。书中采用的办法是通过session_regenerate_id();函数每30秒跟换一次session id来解决此情况,但这样做个人认为比较消耗资源。更好的办法是登录成功时将session id 与用户ip记录到服务器,那么在有效期内session id 如果与IP不一致即提示用户重新登录。
许多的分布式应用需要多台服务器来共享一个用户的session数据,这时,如果按上面说的办法将数据保存到某台服务器的某个目录下,显然是不切实际的。最好是能将SESSION保存到数据库,这样多台应用都可以通过访问数据库的方式来访问session。PEAR包提供了此功能,代码如下,关于PEAR的内容在26章会做介绍。这里只用先了解下即可
require_once 'HTTP/Session/Container/DB.php'; $s = new HTTP_Session_Container_DB('mysql://user:password@localhost/db'); ini_get('session.auto_start') or session_start();
为了提升性能也有用共享内存来保存session数据,书中是以PHP的shmop扩展为例来实现SESSION保存,而通过memcache来实现内存共享session的解决方案应用的更加普遍一些。
这是一个在书中没有提到的话题,session不能直接保存对象,但是有办法就爱那个对象保存到session中,保存前需要对数据进行序列化而在取出数据时需要反序列化,在java或.NET那种原生OO语言中不存在此问题。
$_SESSION["OO"] = serialize($userInfo);//赋值时把对象序列化一下 $userInfo = unserialize($_SESSION["OO"]);//取值的时候再反序列化一下