PHP セッション入門 (ビデオを含む)_PHP チュートリアル

Session は Cookie と比較して、サーバー側に保存されるセッションであり、Cookie のような保存期間の制限がなく、比較的安全です。この記事では、Session の使い方を簡単に紹介します。

セッションはテキストファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。

Cookieの場合、ユーザーがログインしているかどうかを検証したいと仮定すると、ユーザー名とパスワード（おそらくmd5暗号化文字列）をCookieに保存し、ページがリクエストされるたびに検証する必要があります。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。一つだけの検証はできないからです。なぜ？クライアントの Cookie 内の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が Cookie で true に等しいため、次回は確認する必要はありません。そうですか?違います。誰かが true の値を持つ $admin 変数を偽造した場合、その人はすぐに管理者権限を取得することを意味するのではありませんか?非常に危険です。

bkJia ビデオチュートリアル 32: PHP5 の Cookie とセッションの詳細な説明

セッションは異なります。セッションはサーバー側に保存されます。リモート ユーザーはセッション ファイルの内容を変更できません。そのため、ログインするかどうかを決定するために $admin 変数を保存するだけです。 $admin 値を true に設定します。値が true であるかどうかを確認します。そうでない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性を軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。

もちろん、簡単な制御やユーザー定義のストレージ（データベースに保存）など、Sessionを使用することには多くの利点があります。ここではこれ以上多くは言いません。

php.iniでSessionを設定する必要があるのでしょうか？誰もが php.ini を変更できるわけではないため、通常は必要ありません。セッションのデフォルトの保存パスは、後で説明するようにカスタマイズして独自のフォルダーに保存できます。

まずはセッションの作成方法を紹介します。本当に、とてもシンプルです。

Session セッションを開始し、$admin 変数を作成します。

PHPコード
// セッションを開始します
セッション開始(); // admin という名前の変数を宣言し、null 値を割り当てます。
$_SESSION["管理者"] = null; ?>

Seesion を使用している場合、または PHP ファイルが Session 変数を呼び出したい場合は、session_start() 関数を使用して、Session を呼び出す前に Seesion を開始する必要があります。他に何も設定する必要はありません。PHP が自動的にセッション ファイルの作成を完了します。

このプログラムを実行した後、システムの一時フォルダーに移動してセッション ファイルを見つけることができます。通常、ファイル名は次の形式になります。

sess_4c83638b3b0dbf65583181c2f89168ec、

その後に 32 ビットでエンコードされたランダムな文字列が続きます。エディタで開き、内容を確認してください:

管理者|N; 一般に、コンテンツは次のように構成されています:

変数名 | タイプ: 長さ: 値; 各変数をセミコロンで区切ります。長さや種類など一部は省略できます。

データベースにユーザー名とMD5で暗号化されたパスワードが保存されていると仮定して、検証手順を見てみましょう:

ログイン.php

PHPコード
// フォームが送信された後...
$posts = $_POST
// いくつかの空白記号を消去します
foreach ($posts as $key => $value) {
$posts[$key] = トリム($value); }
$password = md5($posts["パスワード"]); $ユーザー名 = $posts["ユーザー名"];
$query = "SELECT `ユーザー名` FROM `ユーザー` WHERE `パスワード` = $パスワード AND `ユーザー名` = $ユーザー名";
// クエリ結果を取得します
$userInfo = $DB->getRow($query);
if (!emptyempty($userInfo)) {
// 検証に合格したら、セッションを開始します
セッション開始(); // ログイン成功のための admin 変数を登録し、値 true を割り当てます
$_SESSION["管理者"] = true; } その他 {
die("ユーザー名とパスワードが間違っています"); }
?>



ログインするかどうかを決定するためにユーザー認証が必要なページでセッションを開始します。

PHPコード
// グローバル変数がセキュリティ リスクを引き起こすのを防ぎます

$admin = false

// セッションを開始します。このステップは必須です

セッション開始(); // ログインするかどうかを決定します

if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) {

echo "ログインに成功しました"
; } その他 {
// 検証に失敗しました。$_SESSION["admin"] を false に設定します
$_SESSION["管理者"] = false; Die("アクセス権限がありません"); }
?>

とても簡単なことではありませんか？ $_SESSION はサーバー側に保存される配列と考えてください。登録する各変数は配列のキーであり、配列を使用するのと何ら変わりません。

システムからログアウトしたい場合はどうすればよいですか？セッションを破棄するだけです。

PHPコード
セッション開始(); // このメソッドは、以前に登録された変数を破棄します
unset($_SESSION[管理者]); // このメソッドはセッション ファイル全体を破棄します
セッション破壊(); ?>

SessionはCookieのようにライフサイクルを設定できるのでしょうか？ Session を使用すると Cookie が完全に放棄されるのでしょうか? Session と Cookie を組み合わせて使用​​するのが最も便利だと思います。

Sessionはクライアントユーザーをどのように決定するのでしょうか？セッション ID によって判断されます。セッション ID とは、セッション ファイルのファイル名です。セッション ID はランダムに生成されるため、セッションの一意性とランダム性が保証されます。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。

クライアントがCookieを無効にしない場合、CookieはSessionセッションの開始時にセッションIDとセッション有効期間を保存する役割を果たします。

セッションの有効期間を手動で設定しましょう:

PHPコード
セッション開始(); // 1 日分保存します
$lifeTime = 24 * 3600; setcookie(session_name(), session_id(), time() + $lifeTime, "/"); ?>

実際、Session には Session_set_cookie_params() 関数も用意されており、この関数は session_start() 関数が呼び出される前に呼び出される必要があります。

PHPコード
// 1 日分保存します
$lifeTime = 24 * 3600; session_set_cookie_params($lifeTime); セッション開始(); $_SESSION["管理者"] = true; ?>

クライアントが IE 6.0 を使用している場合、session_set_cookie_params(); 関数では Cookie の設定に問題が発生するため、引き続き setcookie 関数を手動で呼び出して Cookie を作成します。

クライアントがCookieを無効にしたらどうなるでしょうか？ブラウザを閉じてページを再度リクエストする限り、ライフサイクル全体がブラウザのプロセスであるため、セッションを再登録する必要があります。では、セッション ID はどのように渡すのでしょうか? URL または非表示のフォームを介して渡されると、PHP は次のようなセッション ID を URL に自動的に送信します:

http://www.bkjia.com/PHPjc/486445.html

www.bkjia.com

tru​​ehttp://www.bkjia.com/PHPjc/486445.html技術記事 Session は Cookie と比較して、サーバー側に保存されるセッションであり、Cookie のような保存期間の制限がなく、比較的安全です。この記事では、Session の使い方を簡単に紹介します。 セッシのおかげで...