検索

PHP 開発における Cookie と比較して、セッションはサーバー側に保存されるセッションであり、Cookie のような保存長制限がないため比較的安全です。 この記事ではセッションの使い方を簡単に紹介します。

Sessionはテキストファイルの形式でサーバー側に保存されるため、クライアントがSessionの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。 PHPChina オープンソース コミュニティ ポータル k%W%e2C Y

Cookie の場合、ユーザーがログインしているかどうかを確認したいと仮定すると、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、リクエストする必要があります。毎回ページを確認してください。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。検証は一度だけではできないからです。なぜ?クライアントの Cookie 内の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が Cookie で true に等しいため、次回は確認する必要はありません。はい、そうですか?違います。誰かが true の値を持つ $admin 変数を偽造した場合、その人はすぐに管理者権限を取得することを意味するのではありませんか?非常に危険です。

セッションは異なります。セッションはサーバー側に保存されます。そのため、最初の検証に合格した後は、$admin 変数を保存するだけで済みます。後で、$admin 値を true に設定します。値が true でない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性も軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。

もちろん、セッションを使用することには、簡単な制御やユーザー定義のストレージ(データベースに保存される)など、多くの利点があります。ここではこれ以上多くは言いません。

php.iniでセッションの設定が必要なのでしょうか?誰もが PHP.ini を変更する権限を持っているわけではないため、通常は必要ありません。セッションのデフォルトの保存パスは、後で説明するようにカスタマイズして独自のフォルダーに保存できます。 。

まずはセッションの作成方法を紹介します。本当に、とてもシンプルです。

セッションを開始し、$admin 変数を作成します:

<?PHP
// セッションを開始します
session_start();
// admin という名前の変数を宣言し、null 値を割り当てます。
$_session["admin"] = null;
?>

Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出したい場合は、session_start() 関数を使用して、Session を呼び出す前にそれを開始する必要があります。他に何も設定する必要はありません。PHP が自動的にセッション ファイルを作成します。

このプログラムを実行すると、システムの一時フォルダーでセッション ファイルが見つかります。通常、ファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の後に 32 ビットでエンコードされたランダムな文字列が続く形式になっています。エディタで開き、その内容を確認します:

admin|N;

通常、内容は次のように構成されています:

Variable name|Type: length:value;

そして各変数をセミコロンで区切ります。 。長さや種類など一部は省略できます。

データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証プロセスを見てみましょう:


// フォームが送信された後...
$posts = $_POST; / 空白を削除します
foreach ($posts as $key => $value)
{
$posts[$key] = トリム($value)
}
$password = md5($posts["password"]); ;
$ username = $posts["username"];

$query = "SELECT `username` FROM `user` WHERE `password` = '$password'"

$userInfo = $DB ->getRow ($query);

if (!empty($userInfo))

{

if ($userInfo["username"] == $username)
{
// 検証が成功したらセッションを開始
session_start();
// ログインに成功したための admin 変数を登録し、値 true を割り当てます
$_session["admin"] = true;
else
{
die("Incorrect username and password");
}
else
{
die("ユーザー名とパスワードが間違っています");
}


ログインするかどうかを決定するためにユーザー認証が必要なページでセッションを開始します:

<?PHP

// Prevent global変数がセキュリティ リスクを引き起こすことを防ぐ
$admin = false;

//セッションを開始します。このステップは必須です
session_start();

// ログインするかどうかを決定します
if (isset($_SESSION["admin"]) && $_session["admin"] === true)
{
echo "ログインに成功しました";
}
else
{
// 検証に失敗しました。$_session["admin"] を false に設定します
$_session["admin"] = false;
die("アクセス権限がありません"
}

?>

;


とてもそうじゃないですか? シンプルさについてはどうですか? $_session はサーバー側に保存される配列と考えてください。登録する各変数は配列のキーであり、配列を使用するのと何ら変わりません。

システムからログアウトしたい場合はどうすればよいですか?セッションを破棄するだけです。

<?PHP

session_start();
// このメソッドは元々登録されている特定の変数を破棄します
unset($_session["admin"])
// このメソッドはセッションファイル全体を破棄します
session_destroy ();


SessionはCookieのようにライフサイクルを設定できますか? Session を使用すると Cookie が完全に放棄されるのでしょうか?セッションとCookieを組み合わせて使用​​するのが最も便利だと思います。

Session はクライアント ユーザーをどのように決定するのでしょうか?セッション ID によって判断されます。セッション ID とは、セッション ファイルのファイル名です。セッション ID はランダムに生成されるため、セッションの一意性とランダム性が保証されます。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。

クライアントが Cookie を無効にしない場合、Cookie はセッションセッションの開始時にセッション ID とセッションの有効期間を保存する役割を果たします。

セッションの有効期間を手動で設定しましょう:


session_start();
// 1 日保存します
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");
?>


実際、Session には、Session の有効期間を設定するための関数 session_set_cookie_params(); も用意されています。この関数は、session_start() 関数が呼び出される前に呼び出す必要があります。 <? PHP

// 1 日保存します
$lifeTime = 24 * 3600;

session_start();

$_session["admin"] = true;クライアントは IE 6.0 を使用しており、 session_set_cookie_params(); 関数で Cookie を設定すると問題が発生するため、依然として setcookie 関数を手動で呼び出して Cookie を作成します。

クライアントがCookieを無効にしたらどうなるでしょうか?ブラウザを閉じてページを再度リクエストする限り、ライフサイクル全体がブラウザのプロセスであるため、セッションを再登録する必要があります。では、セッション ID はどのように渡すのでしょうか? URL または非表示フォームを介して渡されると、PHP はセッション ID を URL に自動的に送信します。URL は http://www.openphp.cn/index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669 の形式になります。ここで、パラメータは PHPSESSID です。 URL にはセッション ID が含まれているため、$_GET を使用して値を取得し、ページ間でセッション ID を転送できます。


<?PHP

// 1 日保存します
$lifeTime = 24 * 3600;

// 現在のセッション名を取得します。デフォルトは PHPSESSID です

$sessionName = session_name();

// セッション ID を取得します

$sessionID = $ _GET[$sessionName];
// session_id() を使用して、取得したセッション ID を設定します

session_set_cookie_params($lifeTime);
session_start();
$_session[" "] = true;
?>

仮想ホストの場合、すべてのユーザーのセッションがシステムの一時フォルダーに保存されると、メンテナンスが困難になり、セキュリティが低下します。セッション ファイルの保存パス session_save_path を手動で設定できます。 () このような機能を提供します。もちろん、Web 経由でアクセスできないフォルダーをセッション保存ディレクトリに指定することもできます。そのフォルダーには読み取り/書き込み属性が必要です。

<?PHP

// 保存ディレクトリを設定します

$savePath = "./session_save_dir/";
// 1 日保存します
$lifeTime = 24 * 3600
session_save_path($savePath);

session_set_cookie_params($) lifeTime) ;

session_start();

$_session["admin"] = true;

?>


session_set_cookie_params() 関数と同様に、session_start() 関数を呼び出す前に session_save_path() 関数も呼び出す必要があります。 。

配列やオブジェクトをセッションに保存することもできます。配列の操作と一般変数の操作に違いはありません。オブジェクトを保存する場合、PHP はオブジェクトを自動的にシリアル化し (シリアル化とも呼ばれます)、セッションに保存します。次の例はこれを示しています:


class person
{

var $age;

function Output() {
echo $this->age }

function setAge($age) {
$this->age = $age;
}
}
?>
setage.PHP
require_once "person.PHP"; new person();
$person->setAge(21);
$_session['person'] = $person;
echo "<a href='output'>年齢を出力するにはここをチェックしてください</a>"; ?>
Output.PHP
<?
// オブジェクトが確実に再構築されるようにコールバック関数を設定します。
ini_set('unserialize_callback_func', 'mycallback');
function mycallback($classname) {
$classname . ".PHP";
$person = $_session["person"]; / 出力 21
$person->output();
?>


setup.php ファイルを実行するときに、setup() メソッドを呼び出し、年齢を 21 に設定し、ステータスをシリアル化してセッションに保存します。 (PHP はこの変換を自動的に完了します)、この値を出力するには、output.php に移動するときに、保存したばかりのオブジェクトを逆シリアル化する必要があります。また、逆シリアル化中に未定義のクラスをインスタンス化する必要があるため、後でコールバック関数を定義します。 person.PHP クラス ファイルが自動的にインクルードされるため、オブジェクトが再構築され、現在の年齢値が 21 として取得され、output() メソッドが呼び出されて値が出力されます。

さらに、 session_set_save_handler 関数を使用して、セッションの呼び出し方法をカスタマイズすることもできます。


声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
スカラータイプ、リターンタイプ、ユニオンタイプ、ヌル可能なタイプなど、PHPタイプのヒントはどのように機能しますか?スカラータイプ、リターンタイプ、ユニオンタイプ、ヌル可能なタイプなど、PHPタイプのヒントはどのように機能しますか?Apr 17, 2025 am 12:25 AM

PHPタイプは、コードの品質と読みやすさを向上させるためのプロンプトがあります。 1)スカラータイプのヒント:php7.0であるため、基本データ型は、int、floatなどの関数パラメーターで指定できます。 3)ユニオンタイプのプロンプト:PHP8.0であるため、関数パラメーターまたは戻り値で複数のタイプを指定することができます。 4)Nullable Typeプロンプト:null値を含めることができ、null値を返す可能性のある機能を処理できます。

PHPは、オブジェクトのクローニング(クローンキーワード)と__Clone Magicメソッドをどのように処理しますか?PHPは、オブジェクトのクローニング(クローンキーワード)と__Clone Magicメソッドをどのように処理しますか?Apr 17, 2025 am 12:24 AM

PHPでは、クローンキーワードを使用してオブジェクトのコピーを作成し、\ _ \ _クローンマジックメソッドを使用してクローン動作をカスタマイズします。 1.クローンキーワードを使用して浅いコピーを作成し、オブジェクトのプロパティをクローン化しますが、オブジェクトのプロパティはクローニングしません。 2。\ _ \ _クローン法は、浅いコピーの問題を避けるために、ネストされたオブジェクトを深くコピーできます。 3.クローニングにおける円形の参照とパフォーマンスの問題を避けるために注意し、クローニング操作を最適化して効率を向上させます。

PHP対Python:ユースケースとアプリケーションPHP対Python:ユースケースとアプリケーションApr 17, 2025 am 12:23 AM

PHPはWeb開発およびコンテンツ管理システムに適しており、Pythonはデータサイエンス、機械学習、自動化スクリプトに適しています。 1.PHPは、高速でスケーラブルなWebサイトとアプリケーションの構築においてうまく機能し、WordPressなどのCMSで一般的に使用されます。 2。Pythonは、NumpyやTensorflowなどの豊富なライブラリを使用して、データサイエンスと機械学習の分野で驚くほどパフォーマンスを発揮しています。

さまざまなHTTPキャッシングヘッダー(例:キャッシュコントロール、ETAG、ラスト変更)を説明してください。さまざまなHTTPキャッシングヘッダー(例:キャッシュコントロール、ETAG、ラスト変更)を説明してください。Apr 17, 2025 am 12:22 AM

HTTPキャッシュヘッダーの主要なプレーヤーには、キャッシュコントロール、ETAG、およびラスト修飾が含まれます。 1.Cache-Controlは、キャッシュポリシーを制御するために使用されます。例:キャッシュコントロール:Max-Age = 3600、public。 2。ETAGは、一意の識別子を介してリソースの変更を検証します。例:ETAG: "686897696A7C876B7E"。 3. Last-Modifiedは、リソースの最後の変更時間を示しています。

PHPでの安全なパスワードハッシュ(例:Password_hash、password_verify)を説明します。 MD5またはSHA1を使用してみませんか?PHPでの安全なパスワードハッシュ(例:Password_hash、password_verify)を説明します。 MD5またはSHA1を使用してみませんか?Apr 17, 2025 am 12:06 AM

PHPでは、Password_hashとpassword_verify関数を使用して安全なパスワードハッシュを実装する必要があり、MD5またはSHA1を使用しないでください。 1)password_hashセキュリティを強化するために、塩値を含むハッシュを生成します。 2)password_verifyハッシュ値を比較して、パスワードを確認し、セキュリティを確保します。 3)MD5とSHA1は脆弱であり、塩の値が不足しており、最新のパスワードセキュリティには適していません。

PHP:サーバー側のスクリプト言語の紹介PHP:サーバー側のスクリプト言語の紹介Apr 16, 2025 am 12:18 AM

PHPは、動的なWeb開発およびサーバー側のアプリケーションに使用されるサーバー側のスクリプト言語です。 1.PHPは、編集を必要とせず、迅速な発展に適した解釈言語です。 2。PHPコードはHTMLに組み込まれているため、Webページの開発が簡単になりました。 3。PHPプロセスサーバー側のロジック、HTML出力を生成し、ユーザーの相互作用とデータ処理をサポートします。 4。PHPは、データベースと対話し、プロセスフォームの送信、サーバー側のタスクを実行できます。

PHPとWeb:その長期的な影響を調査しますPHPとWeb:その長期的な影響を調査しますApr 16, 2025 am 12:17 AM

PHPは過去数十年にわたってネットワークを形成しており、Web開発において重要な役割を果たし続けます。 1)PHPは1994年に発信され、MySQLとのシームレスな統合により、開発者にとって最初の選択肢となっています。 2)コア関数には、動的なコンテンツの生成とデータベースとの統合が含まれ、ウェブサイトをリアルタイムで更新し、パーソナライズされた方法で表示できるようにします。 3)PHPの幅広いアプリケーションとエコシステムは、長期的な影響を促進していますが、バージョンの更新とセキュリティの課題にも直面しています。 4)PHP7のリリースなど、近年のパフォーマンスの改善により、現代の言語と競合できるようになりました。 5)将来的には、PHPはコンテナ化やマイクロサービスなどの新しい課題に対処する必要がありますが、その柔軟性とアクティブなコミュニティにより適応性があります。

なぜPHPを使用するのですか?利点と利点が説明されましたなぜPHPを使用するのですか?利点と利点が説明されましたApr 16, 2025 am 12:16 AM

PHPの中心的な利点には、学習の容易さ、強力なWeb開発サポート、豊富なライブラリとフレームワーク、高性能とスケーラビリティ、クロスプラットフォームの互換性、費用対効果が含まれます。 1)初心者に適した学習と使用が簡単。 2)Webサーバーとの適切な統合および複数のデータベースをサポートします。 3)Laravelなどの強力なフレームワークを持っています。 4)最適化を通じて高性能を達成できます。 5)複数のオペレーティングシステムをサポートします。 6)開発コストを削減するためのオープンソース。

See all articles

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

SecLists

SecLists

SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。

Safe Exam Browser

Safe Exam Browser

Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。

AtomエディタMac版ダウンロード

AtomエディタMac版ダウンロード

最も人気のあるオープンソースエディター

MinGW - Minimalist GNU for Windows

MinGW - Minimalist GNU for Windows

このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール