PHPの具体的な使い方の分析 session_PHPチュートリアル
- WBOYオリジナル
- 2016-07-15 13:29:33769ブラウズ
セッションはテキストファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。
Cookie の場合、ユーザーがログインしているかどうかを確認したいと仮定すると、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、ページがリクエストされるたびに検証する必要があります。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。検証は一度だけではできないからです。なぜ?クライアントの Cookie 内の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が Cookie で true に等しいため、次回は確認する必要はありません。はい、そうですか?違います。誰かが true の値を持つ $admin 変数を偽造した場合、その人はすぐに管理者権限を取得することを意味するのではありませんか?非常に危険です。
PHP セッションは異なります。セッションはサーバー側に保存されます。そのため、最初の検証に合格した後は、$admin 変数を保存するだけで済みます。 、$admin 値を true に設定し、値が true であるかどうかを確認します。そうでない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性を軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。
もちろん、簡単な制御やユーザー定義のストレージ (データベースに保存される) など、Session を使用することには多くの利点があります。ここではこれ以上多くは言いません。
php.iniでPHPセッションを設定する必要がありますか?誰もが php.ini を変更できるわけではないため、通常は必要ありません。セッションのデフォルトの保存パスは、後で説明するようにカスタマイズして独自のフォルダーに保存できます。
セッションの作成方法の紹介を始めます。本当に、とてもシンプルです。
セッションを開始して $admin 変数を作成します:
<ol class="dp-xml"> <li class="alt"><span><span>// 启动 Session </span></span></li> <li class=""><span>session_start(); </span></li> <li class="alt"><span>// 声明一个名为 admin 的变量,并赋空值。 </span></li> <li class=""><span>$_SESSION["admin"] = null; </span></li> <li class="alt"> <span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span><span></span> </li> </ol>
Seesion を使用している場合、または PHP ファイルが Session 変数を呼び出したい場合は、PHP セッションを呼び出す必要があります。セッションの前に開始するには、session_start() 関数を使用します。他に何も設定する必要はありません。PHP が自動的にセッション ファイルを作成します。
このプログラムを実行した後、システムの一時フォルダーに移動してセッション ファイルを見つけることができます。一般的なファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の形式で、その後に 32 ビットでエンコードされたランダムな文字列が続きます。エディターで開き、内容を確認します。長さや種類など一部は省略できます。
データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証プログラムを見てみましょう:
<ol class="dp-xml">
<li class="alt"><span><span>login.php </span></span></li>
<li class=""><span> </span></li>
<li class="alt"><span>// 表单提交后... </span></li>
<li class="">
<span>$</span><span class="attribute"><font color="#ff0000">posts</font></span><span> = $_POST; </span>
</li>
<li class="alt"><span>// 清除一些空白符号 </span></li>
<li class="">
<span>foreach ($posts as $</span><span class="attribute"><font color="#ff0000">key</font></span><span> =</span><span class="tag"><strong><font color="#006699">></font></strong></span><span> $value) </span>
</li>
<li class="alt"><span>{ </span></li>
<li class=""><span>$posts[$key] = trim($value); </span></li>
<li class="alt"><span>} </span></li>
<li class="">
<span>$</span><span class="attribute"><font color="#ff0000">password</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">md5</font></span><span>($posts["password"]); </span>
</li>
<li class="alt">
<span>$</span><span class="attribute"><font color="#ff0000">username</font></span><span> = $posts["username"]; </span>
</li>
<li class=""><span> </span></li>
<li class="alt">
<span>$</span><span class="attribute"><font color="#ff0000">query</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">"SELECT `username` FROM `user` WHERE `password` = '$password'"</font></span><span>; </span>
</li>
<li class=""><span>// 取得查询结果 </span></li>
<li class="alt">
<span>$</span><span class="attribute"><font color="#ff0000">userInfo</font></span><span> = $DB-</span><span class="tag"><strong><font color="#006699">></font></strong></span><span>getRow($query); </span>
</li>
<li class=""><span> </span></li>
<li class="alt"><span>if (!empty($userInfo)) </span></li>
<li class=""><span>{ </span></li>
<li class="alt"><span>if ($userInfo["username"] == $username) </span></li>
<li class=""><span>{ </span></li>
<li class="alt"><span>// 当验证通过后,启动PHP会话Session</span></li>
<li class=""><span>session_start(); </span></li>
<li class="alt"><span>// 注册登陆成功的 admin 变量,并赋值 true </span></li>
<li class=""><span>$_SESSION["admin"] = true; </span></li>
<li class="alt"><span>} </span></li>
<li class=""><span>else </span></li>
<li class="alt"><span>{ </span></li>
<li class=""><span>die("用户名密码错误"); </span></li>
<li class="alt"><span>} </span></li>
<li class=""><span>} </span></li>
<li class="alt"><span>else </span></li>
<li class=""><span>{ </span></li>
<li class="alt"><span>die("用户名密码错误"); </span></li>
<li class=""><span>} </span></li>
<li class="alt"><span> </span></li>
<li class="">
<span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span>
</li>
</ol>
ユーザー認証が必要なページでセッションを開始します。ログイン:
<ol class="dp-xml">
<li class="alt"><span><span>// 防止全局变量造成安全隐患 </span></span></li>
<li class="">
<span>$</span><span class="attribute"><font color="#ff0000">admin</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">false</font></span><span>; </span>
</li>
<li class="alt"><span> </span></li>
<li class=""><span>// 启动会话,这步必不可少 </span></li>
<li class="alt"><span>session_start(); </span></li>
<li class=""><span> </span></li>
<li class="alt"><span>// 判断是否登陆 </span></li>
<li class=""><span>if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) </span></li>
<li class="alt"><span>{ </span></li>
<li class=""><span>echo "您已经成功登陆"; </span></li>
<li class="alt"><span>} </span></li>
<li class=""><span>else </span></li>
<li class="alt"><span>{ </span></li>
<li class=""><span>// 验证失败,将 $_SESSION["admin"] 置为 false </span></li>
<li class="alt"><span>$_SESSION["admin"] = false; </span></li>
<li class=""><span>die("您无权访问"); </span></li>
<li class="alt"><span>} </span></li>
<li class=""><span> </span></li>
<li class="alt">
<span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span>
</li>
</ol>
とても簡単ではないでしょうか? $_SESSION はサーバー側に保存される配列と考えてください。登録する各変数は配列のキーであり、配列を使用するのと何ら変わりません。
システムからログアウトしたい場合はどうすればよいですか? PHP セッションを破棄するだけです。
<ol class="dp-xml"> <li class="alt"><span><span>session_start(); </span></span></li> <li class=""><span>// 这种方法是将原来注册的某个变量销毁 </span></li> <li class="alt"><span>unset($_SESSION["admin"]); </span></li> <li class=""><span> </span></li> <li class="alt"><span>// 这种方法是销毁整个 Session 文件 </span></li> <li class=""><span>session_destroy(); </span></li> <li class="alt"><span> </span></li> <li class=""> <span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span> </li> </ol>
SessionはCookieのようにライフサイクルを設定できますか? Session を使用すると Cookie が完全に放棄されるのでしょうか? Session と Cookie を組み合わせて使用するのが最も便利だと思います。
セッションはクライアント ユーザーをどのように決定しますか?セッション ID によって判断されます。セッション ID とは、セッション ファイルのファイル名です。セッション ID はランダムに生成されるため、セッションの一意性とランダム性が保証されます。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。
クライアントが Cookie を無効にしない場合、Cookie は PHP セッションの開始時にセッション ID とセッションの有効期間を保存する役割を果たします。
セッションの有効期間を手動で設定しましょう:
<ol class="dp-xml"> <li class="alt"><span><span>session_start(); </span></span></li> <li class=""><span>// 保存一天 </span></li> <li class="alt"> <span>$</span><span class="attribute"><font color="#ff0000">lifeTime</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">24</font></span><span> * 3600; </span> </li> <li class=""><span>setcookie(session_name(), session_id(), time() + $lifeTime, "/"); </span></li> <li class="alt"><span> </span></li> <li class=""> <span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span> </li> </ol>
実際、Sessionは関数sesも提供しますsion_set_cookie_params(); を設定します。セッションの存続 定期的に、session_start() 関数が呼び出される前にこの関数を呼び出す必要があります:
<ol class="dp-xml"> <li class="alt"><span><span>// 保存一天 </span></span></li> <li class=""> <span>$</span><span class="attribute"><font color="#ff0000">lifeTime</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">24</font></span><span> * 3600; </span> </li> <li class="alt"><span>session_set_cookie_params($lifeTime); </span></li> <li class=""><span>session_start(); </span></li> <li class="alt"><span>$_SESSION["admin"] = true; </span></li> <li class=""><span> </span></li> <li class="alt"> <span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span> </li> </ol>
如果客户端使用 IE 6.0 , session_set_cookie_params(); 函数设置 Cookie 会有些问题,所以我们还是手动调用 setcookie 函数来创建 cookie。
假设客户端禁用 Cookie 怎么办?没办法,所有生存周期都是浏览器进程了,只要关闭浏览器,再次请求页面又得重新注册PHP会话Session。那么怎么传递 Session ID 呢?通过 URL 或者通过隐藏表单来传递,PHP 会自动将 Session ID 发送到 URL 上,URL 形如:http://www.openphp.cn/index.php? ... e5b44cfa01d49cf9669,其中 URL 中的参数 PHPSESSID 就是 Session ID了,我们可以使用 $_GET 来获取该值,从而实现 Session ID 页面间传递。
<ol class="dp-xml"> <li class="alt"><span><span>// 保存一天 </span></span></li> <li class=""> <span>$</span><span class="attribute"><font color="#ff0000">lifeTime</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">24</font></span><span> * 3600; </span> </li> <li class="alt"><span>// 取得当前 Session 名,默认为 PHPSESSID </span></li> <li class=""> <span>$</span><span class="attribute"><font color="#ff0000">sessionName</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">session_name</font></span><span>(); </span> </li> <li class="alt"><span>// 取得 Session ID </span></li> <li class=""> <span>$</span><span class="attribute"><font color="#ff0000">sessionID</font></span><span> = $_GET[$sessionName]; </span> </li> <li class="alt"><span>// 使用 session_id() 设置获得的 Session ID </span></li> <li class=""><span>session_id($sessionID); </span></li> <li class="alt"><span> </span></li> <li class=""><span>session_set_cookie_params($lifeTime); </span></li> <li class="alt"><span>session_start(); </span></li> <li class=""><span>$_SESSION["admin"] = true; </span></li> <li class="alt"><span> </span></li> <li class=""> <span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span> </li> </ol>
对于虚拟主机来说,如果所有用户的PHP会话Session都保存在系统临时文件夹里,将给维护造成困难,而且降低了安全性,我们可以手动设置 Session 文件的保存路径,session_save_path() 就提供了这样一个功能。我们可以将 Session 存放目录指向一个不能通过 Web 方式访问的文件夹,当然,该文件夹必须具备可读写属性。
<ol class="dp-xml"> <li class="alt"><span><span>// 设置一个存放目录 </span></span></li> <li class=""> <span>$</span><span class="attribute"><font color="#ff0000">savePath</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">"./session_save_dir/"</font></span><span>; </span> </li> <li class="alt"><span>// 保存一天 </span></li> <li class=""> <span>$</span><span class="attribute"><font color="#ff0000">lifeTime</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">24</font></span><span> * 3600; </span> </li> <li class="alt"><span>session_save_path($savePath); </span></li> <li class=""><span>session_set_cookie_params($lifeTime); </span></li> <li class="alt"><span>session_start(); </span></li> <li class=""><span>$_SESSION["admin"] = true; </span></li> <li class="alt"><span> </span></li> <li class=""> <span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span> </li> </ol>
同 session_set_cookie_params(); 函数一样,session_save_path() 函数也必须在 session_start() 函数调用之前调用。
我们还可以将数组,对象存储在PHP会话Session中。操作数组和操作一般变量没有什么区别,而保存对象的话,PHP 会自动对对象进行序列化(也叫串行化),然后保存于 Session 中。下面例子说明了这一点:
<ol class="dp-xml">
<li class="alt"><span><span>person.php </span></span></li>
<li class=""><span> </span></li>
<li class="alt"><span>class person </span></li>
<li class=""><span>{ </span></li>
<li class="alt"><span>var $age; </span></li>
<li class=""><span>function output() { </span></li>
<li class="alt">
<span>echo $this-</span><span class="tag"><strong><font color="#006699">></font></strong></span><span>age; </span>
</li>
<li class=""><span>} </span></li>
<li class="alt"><span> </span></li>
<li class=""><span>function setAge($age) { </span></li>
<li class="alt">
<span>$this-</span><span class="tag"><strong><font color="#006699">></font></strong></span><span class="attribute"><font color="#ff0000">age</font></span><span> = $age; </span>
</li>
<li class=""><span>} </span></li>
<li class="alt"><span>} </span></li>
<li class="">
<span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span>
</li>
<li class="alt"><span> </span></li>
<li class=""><span>setage.php </span></li>
<li class="alt"><span> </span></li>
<li class=""><span> </span></li>
<li class="alt"><span>session_start(); </span></li>
<li class=""><span>require_once "person.php"; </span></li>
<li class="alt">
<span>$</span><span class="attribute"><font color="#ff0000">person</font></span><span> = </span><span class="attribute-value"><font color="#0000ff">new</font></span><span> person(); </span>
</li>
<li class="">
<span>$person-</span><span class="tag"><strong><font color="#006699">></font></strong></span><span>setAge(21); </span>
</li>
<li class="alt"><span>$_SESSION['person'] = $person; </span></li>
<li class=""><span>echo "check here to output age"; </span></li>
<li class="alt"><span> </span></li>
<li class="">
<span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span>
</li>
<li class="alt"><span> </span></li>
<li class=""><span>output.php </span></li>
<li class="alt"><span> </span></li>
<li class=""><span> </span></li>
<li class="alt"><span>// 设置回调函数,确保重新构建对象。 </span></li>
<li class=""><span>ini_set('unserialize_callback_func', 'mycallback'); </span></li>
<li class="alt"><span>function mycallback($classname) { </span></li>
<li class=""><span>include_once $classname . ".php"; </span></li>
<li class="alt"><span>} </span></li>
<li class=""><span>session_start(); </span></li>
<li class="alt">
<span>$</span><span class="attribute"><font color="#ff0000">person</font></span><span> = $_SESSION["person"]; </span>
</li>
<li class=""><span>// 输出 21 </span></li>
<li class="alt">
<span>$person-</span><span class="tag"><strong><font color="#006699">></font></strong></span><span>output(); </span>
</li>
<li class=""><span> </span></li>
<li class="alt">
<span></span><span class="tag"><strong><font color="#006699">?></font></strong></span><span> </span>
</li>
</ol>
当我们执行 setage.php 文件的时候,调用了 setage() 方法,设置了年龄为 21,并将该状态序列化后保存在 Session 中(PHP 将自动完成这一转换),当转到 output.php 后,要输出这个值,就必须反序列化刚才保存的对象,又因为在解序列化的时候需要实例化一个未定义类,所以我们定义了以后回调函数,自动包含 person.php 这个类文件,因此对象被重构,并取得当前 age 的值为 21,然后调用 output() 方法输出该值。
另外,我们还可以使用 session_set_save_handler 函数来自定义PHP会话Session的调用方式。