PHP セッション入門 (セッション)

PHP セッションの開始

?Session は Cookie と比較して、サーバー側に保存されるセッションであり、Cookie のような保存長制限がなく、比較的安全です。この記事では、Session の使い方を簡単に紹介します。

セッションはテキスト ファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。

Cookie の場合、ユーザーがログインしているかどうかを確認したいと仮定すると、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、ページがリクエストされるたびに検証する必要があります。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。一つだけの検証はできないからです。なぜ？クライアントの Cookie 内の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が Cookie で true に等しいため、次回は確認する必要はありません。はい、そうですか?違います。誰かが true の値を持つ $admin 変数を偽造した場合、その人はすぐに管理者権限を取得することを意味するのではありませんか?非常に危険です。

セッションはサーバー側に保存されます。リモート ユーザーはセッション ファイルの内容を変更できません。そのため、ログインするかどうかを決定するために $admin 変数を保存するだけです。渡された場合は、 $admin 値を true に設定し、値が true であるかどうかを後で判断します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性を軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。

もちろん、簡単な制御やユーザー定義のストレージ (データベースに保存) など、Session を使用することには多くの利点があります。ここではこれ以上多くは言いません。

php.ini でセッションを設定する必要がありますか?誰もが php.ini を変更する権限を持っているわけではないため、通常は必要ありません。セッションのデフォルトの保存パスは、後で説明するようにカスタマイズして独自のフォルダーに保存できます。 🎜>

セッションの作成方法の紹介を開始します。本当に、とてもシンプルです。

セッションを開始し、$admin 変数を作成します:

?

?

Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出す必要がある場合は、session_start() 関数を使用して、Session を呼び出す前に Seesion 変数を開始する必要があります。他に何も設定する必要はありません。PHP が自動的にセッション ファイルの作成を完了します。

このプログラムを実行すると、システムの一時フォルダーでセッション ファイルが見つかります。通常、ファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の後に 32 ビットでエンコードされたランダムな文字列が続く形式になっています。エディターで開き、内容を確認してください:

通常、コンテンツは次のように構成されています:

<span >admin|N; </span> と入力し、各変数をセミコロンで区切ります。長さや種類など一部は省略できます。

データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証手順を見てみましょう。<span >变量名|类型:长度:值; </span>

login.php

? ?

?

$value) { $posts[$key] =トリム( $値); } $パスワード = md5($posts["パスワード"]); $ユーザー名 = $posts["ユーザー名"]; $query = "SELECT `ユーザー名` FROM `ユーザー` WHERE `パスワード` = ' $password ' AND `username` = '$username'"; // クエリ結果を取得 $userInfo = $DB->getRow($query); if (!empty($userInfo)) { // 検証後渡された場合、セッションを開始します session_start(); // ログインが成功したための admin 変数を登録し、値 true を割り当てます $_SESSION["admin"] = true } else { die("ユーザー名とパスワードが間違っています"); ; ユーザー認証が必要なページにいます セッションを開始して、ログインするかどうかを決定します:

?とても簡単ですね? $_SESSION はサーバー側に保存される配列と考えてください。登録する各変数は配列のキーであり、配列を使用するのと何ら変わりません。

システムからログアウトしたい場合はどうすればよいですか?セッションを破棄するだけです。

Session は Cookie のようにライフサイクルを設定できますか? Session を使用すると Cookie が完全に放棄されるのでしょうか? Session と Cookie を組み合わせて使用​​するのが最も便利だと思います。

セッションはクライアント ユーザーをどのように決定しますか?セッション ID によって判断されます。セッション ID とは、セッション ファイルのファイル名です。セッション ID はランダムに生成されるため、セッションの一意性とランダム性が保証されます。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。

クライアントが Cookie を無効にしない場合、Cookie はセッションセッションの開始時にセッション ID とセッションの有効期間を保存する役割を果たします。

セッションの有効期間を手動で設定しましょう:
?

実際、Session には、Session の有効期間を設定するための関数 session_set_cookie_params() も用意されています。この関数は、session_start() 関数が呼び出される前に呼び出す必要があります。

クライアントが IE 6.0 を使用している場合、session_set_cookie_params(); 関数で Cookie を設定する際に問題が発生するため、引き続き setcookie 関数を手動で呼び出して Cookie を作成します。

クライアントが Cookie を無効にするとどうなりますか?ブラウザを閉じてページを再度リクエストする限り、ライフサイクル全体がブラウザのプロセスであるため、セッションを再登録する必要があります。では、セッション ID はどのように渡すのでしょうか? URL または非表示フォームを介して渡されると、PHP はセッション ID を URL に自動的に送信します。URL は http://www.openphp.cn/index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669 の形式になります。ここで、パラメータは PHPSESSID です。 URL にセッション ID がある場合、$_GET を使用して値を取得することで、ページ間のセッション ID の転送を実現できます。

仮想ホストの場合、すべてのユーザーのセッションがシステムの一時フォルダーに保存されると、メンテナンスが困難になり、セキュリティが低下します。session_save_path() にはそのような機能があり、セッション ファイルの保存パスを手動で設定できます。 。もちろん、Web 経由でアクセスできないフォルダーをセッション ストレージ ディレクトリに指定することもできます。そのフォルダーには読み取り/書き込み属性が必要です。

?

session_set_cookie_params(); 関数と同様に、session_start() 関数を呼び出す前に session_save_path() 関数も呼び出す必要があります。

配列やオブジェクトをセッションに保存することもできます。配列の操作と一般変数の操作に違いはありません。オブジェクトを保存する場合、PHP はオブジェクトを自動的にシリアル化し (シリアル化とも呼ばれます)、セッションに保存します。次の例はこれを示しています

person.php

?

age; } function setAge($age) { $this->age = $age; } ?>

?setage.php

?

?

年齢を出力するにはここをチェック';

?output.php

?

?

出力();>

?setup.php ファイルを実行するとき、setage() メソッドを呼び出し、年齢を 21 に設定し、ステータスをシリアル化してセッションに保存します (出力に到達すると、PHP は自動的にこの変換を完了します)。 php でこの値を出力するには、保存したばかりのオブジェクトを逆シリアル化する必要があります。また、逆シリアル化するときに未定義のクラスをインスタンス化する必要があるため、今後、person.php このクラス ファイルを自動的にインクルードするコールバック関数を定義します。そのため、オブジェクトは次のようになります。再構築され、現在の年齢値が 21 として取得され、output() メソッドが呼び出されて値が出力されます。

さらに、session_set_save_handler 関数を使用して、Session の呼び出しメソッドをカスタマイズすることもできます