PHP 開発における Cookie と比較して、セッションはサーバー側に保存されるセッションであり、Cookie のような保存長制限がないため比較的安全です。 この記事ではセッションの使い方を簡単に紹介します。
Sessionはテキストファイルの形式でサーバー側に保存されるため、クライアントがSessionの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。 PHPChina オープンソース コミュニティ ポータル k%W%e2C Y
Cookie の場合、ユーザーがログインしているかどうかを確認したいと仮定すると、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、リクエストする必要があります。毎回ページを確認してください。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。検証は一度だけではできないからです。なぜ?クライアントの Cookie 内の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が Cookie で true に等しいため、次回は確認する必要はありません。はい、そうですか?違います。誰かが true の値を持つ $admin 変数を偽造した場合、その人はすぐに管理者権限を取得することを意味するのではありませんか?非常に危険です。
セッションは異なります。セッションはサーバー側に保存されます。そのため、最初の検証に合格した後は、$admin 変数を保存するだけで済みます。後で、$admin 値を true に設定します。値が true でない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性も軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。
もちろん、セッションを使用することには、簡単な制御やユーザー定義のストレージ(データベースに保存される)など、多くの利点があります。ここではこれ以上多くは言いません。
php.iniでセッションの設定が必要なのでしょうか?誰もが PHP.ini を変更する権限を持っているわけではないため、通常は必要ありません。セッションのデフォルトの保存パスは、後で説明するようにカスタマイズして独自のフォルダーに保存できます。 。
まずはセッションの作成方法を紹介します。本当に、とてもシンプルです。
セッションを開始し、$admin 変数を作成します:
<?PHP
// セッションを開始します
session_start();
// admin という名前の変数を宣言し、null 値を割り当てます。
$_session["admin"] = null;
?>
Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出したい場合は、session_start() 関数を使用して、Session を呼び出す前にそれを開始する必要があります。他に何も設定する必要はありません。PHP が自動的にセッション ファイルを作成します。
このプログラムを実行すると、システムの一時フォルダーでセッション ファイルが見つかります。通常、ファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の後に 32 ビットでエンコードされたランダムな文字列が続く形式になっています。エディタで開き、その内容を確認します:
admin|N;
通常、内容は次のように構成されています:
Variable name|Type: length:value;
そして各変数をセミコロンで区切ります。 。長さや種類など一部は省略できます。
データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証プロセスを見てみましょう:
// フォームが送信された後...
$posts = $_POST; / 空白を削除します
foreach ($posts as $key => $value)
{
$posts[$key] = トリム($value)
}
$password = md5($posts["password"]); ;
$ username = $posts["username"];
$userInfo = $DB ->getRow ($query);
if (!empty($userInfo))
if ($userInfo["username"] == $username)
{
// 検証が成功したらセッションを開始
session_start();
// ログインに成功したための admin 変数を登録し、値 true を割り当てます
$_session["admin"] = true;
else
{
die("Incorrect username and password");
}
else
{
die("ユーザー名とパスワードが間違っています");
}
ログインするかどうかを決定するためにユーザー認証が必要なページでセッションを開始します:
// Prevent global変数がセキュリティ リスクを引き起こすことを防ぐ
$admin = false;
//セッションを開始します。このステップは必須です
session_start();
// ログインするかどうかを決定します
if (isset($_SESSION["admin"]) && $_session["admin"] === true)
{
echo "ログインに成功しました";
}
else
{
// 検証に失敗しました。$_session["admin"] を false に設定します
$_session["admin"] = false;
die("アクセス権限がありません"
}
?>
;
とてもそうじゃないですか? シンプルさについてはどうですか? $_session はサーバー側に保存される配列と考えてください。登録する各変数は配列のキーであり、配列を使用するのと何ら変わりません。
システムからログアウトしたい場合はどうすればよいですか?セッションを破棄するだけです。
<?PHP
session_start();
// このメソッドは元々登録されている特定の変数を破棄します
unset($_session["admin"])
// このメソッドはセッションファイル全体を破棄します
session_destroy ();
>
SessionはCookieのようにライフサイクルを設定できますか? Session を使用すると Cookie が完全に放棄されるのでしょうか?セッションとCookieを組み合わせて使用するのが最も便利だと思います。
Session はクライアント ユーザーをどのように決定するのでしょうか?セッション ID によって判断されます。セッション ID とは、セッション ファイルのファイル名です。セッション ID はランダムに生成されるため、セッションの一意性とランダム性が保証されます。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。
クライアントが Cookie を無効にしない場合、Cookie はセッションセッションの開始時にセッション ID とセッションの有効期間を保存する役割を果たします。
セッションの有効期間を手動で設定しましょう:
session_start();
// 1 日保存します
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");
?>
実際、Session には、Session の有効期間を設定するための関数 session_set_cookie_params(); も用意されています。この関数は、session_start() 関数が呼び出される前に呼び出す必要があります。 <? PHP
// 1 日保存します
$lifeTime = 24 * 3600;
$_session["admin"] = true;クライアントは IE 6.0 を使用しており、 session_set_cookie_params(); 関数で Cookie を設定すると問題が発生するため、依然として setcookie 関数を手動で呼び出して Cookie を作成します。
クライアントがCookieを無効にしたらどうなるでしょうか?ブラウザを閉じてページを再度リクエストする限り、ライフサイクル全体がブラウザのプロセスであるため、セッションを再登録する必要があります。では、セッション ID はどのように渡すのでしょうか? URL または非表示フォームを介して渡されると、PHP はセッション ID を URL に自動的に送信します。URL は http://www.openphp.cn/index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669 の形式になります。ここで、パラメータは PHPSESSID です。 URL にはセッション ID が含まれているため、$_GET を使用して値を取得し、ページ間でセッション ID を転送できます。
<?PHP
// 1 日保存します
$lifeTime = 24 * 3600;
$sessionName = session_name();
// セッション ID を取得します $sessionID = $ _GET[$sessionName];
// session_id() を使用して、取得したセッション ID を設定します
session_set_cookie_params($lifeTime);
session_start();
$_session[" "] = true;
?>
仮想ホストの場合、すべてのユーザーのセッションがシステムの一時フォルダーに保存されると、メンテナンスが困難になり、セキュリティが低下します。セッション ファイルの保存パス session_save_path を手動で設定できます。 () このような機能を提供します。もちろん、Web 経由でアクセスできないフォルダーをセッション保存ディレクトリに指定することもできます。そのフォルダーには読み取り/書き込み属性が必要です。
<?PHP
$savePath = "./session_save_dir/";
// 1 日保存します
$lifeTime = 24 * 3600
session_save_path($savePath);
session_start();
$_session["admin"] = true; ?>
session_set_cookie_params() 関数と同様に、session_start() 関数を呼び出す前に session_save_path() 関数も呼び出す必要があります。 。
配列やオブジェクトをセッションに保存することもできます。配列の操作と一般変数の操作に違いはありません。オブジェクトを保存する場合、PHP はオブジェクトを自動的にシリアル化し (シリアル化とも呼ばれます)、セッションに保存します。次の例はこれを示しています:
class person
{
function Output() {
echo $this->age }
function setAge($age) {
$this->age = $age;
}
}
?>
setage.PHP
require_once "person.PHP"; new person();
$person->setAge(21);
$_session['person'] = $person;
echo "<a href='output'>年齢を出力するにはここをチェックしてください</a>"; ?>
Output.PHP
<?
// オブジェクトが確実に再構築されるようにコールバック関数を設定します。
ini_set('unserialize_callback_func', 'mycallback');
function mycallback($classname) {
$classname . ".PHP";
$person = $_session["person"]; / 出力 21
$person->output();
?>
setup.php ファイルを実行するときに、setup() メソッドを呼び出し、年齢を 21 に設定し、ステータスをシリアル化してセッションに保存します。 (PHP はこの変換を自動的に完了します)、この値を出力するには、output.php に移動するときに、保存したばかりのオブジェクトを逆シリアル化する必要があります。また、逆シリアル化中に未定義のクラスをインスタンス化する必要があるため、後でコールバック関数を定義します。 person.PHP クラス ファイルが自動的にインクルードされるため、オブジェクトが再構築され、現在の年齢値が 21 として取得され、output() メソッドが呼び出されて値が出力されます。
さらに、 session_set_save_handler 関数を使用して、セッションの呼び出し方法をカスタマイズすることもできます。