php セッションを学習する友人は、PHP セッション (セッション) 入門ページ 1/2_PHP チュートリアルを読むことをお勧めします。

セッションはテキスト ファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。
Cookie の場合、ユーザーがログインしているかどうかを確認したいと仮定すると、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、ページがリクエストされるたびに検証する必要があります。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。一つだけの検証はできないからです。なぜ？クライアントの Cookie 内の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を保存する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$admin等しい true は Cookie に保存され、次回検証する必要はありません。はい、そうですか?違います。誰かが true の値を持つ $admin 変数を偽造した場合、その人はすぐに管理者権限を取得することを意味するのではありませんか?非常に危険です。
セッションは異なります。セッションはサーバー側に保存されます。リモート ユーザーはセッション ファイルの内容を変更できません。そのため、ログインするかどうかを決定するために $admin 変数を保存するだけです。 $admin 値を true に設定します。値が true であるかどうかを確認します。そうでない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性を軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。
もちろん、Session を使用することには、簡単な制御、ユーザー定義のストレージ (データベースに保存される) など、多くの利点があります。ここではこれ以上多くは言いません。
php.iniでセッションを設定する必要がありますか?誰もが php.ini を変更できるわけではないため、通常は必要ありません。セッションのデフォルトの保存パスは、後で説明するようにカスタマイズして独自のフォルダーに保存できます。
セッションの作成方法の紹介を開始します。本当に、とてもシンプルです。
セッションを開始し、$admin 変数を作成します:

// セッションを開始します
session_start();
// admin という名前の変数を宣言し、null 値を割り当てます。
$_SESSION["admin"] = null;
?>
Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出したい場合は、session_start() 関数を使用して、Session を呼び出す前にそれを開始する必要があります。他に何も設定する必要はありません。PHP はセッション ファイルを自動的に作成します。

このプログラムを実行した後、システムの一時フォルダーに移動してセッション ファイルを見つけることができます。一般的なファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の形式で、その後に 32 ビットでエンコードされたランダムな文字列が続きます。エディタで開き、その内容を確認します:

admin|N; 通常、内容は次の構造になっています:

変数名|タイプ: 長さ: 値; 各変数はセミコロンで区切られます。長さや種類など一部は省略できます。

データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証プロセスを見てみましょう:

login.php
// フォームが送信された後...
$posts = $_POST ;
/ / 空白を削除します
foreach ($posts as $key => $value) {
$posts[$key] = トリム($value)
}
$password = md5($posts["パスワード") ]) ;
$username = $posts["username"];

$query = "SELECT `username` FROM `user` WHERE `password` = '$password' AND `username` = '$username'"; // クエリ結果を取得
$userInfo = $DB->getRow($query);

if (!empty($userInfo)) {
// 検証が成功したら、セッションを開始します
session_start(); // 登録とログインに成功し、値 true を割り当てます
$_SESSION["admin"] = true; else {
die("ユーザー名とパスワードが間違っています")
?>ユーザー認証が必要なページでセッションを開始し、ログインするかどうかを決定します:

// グローバル変数がセキュリティリスクを引き起こすのを防ぎます
$admin = false
// セッションを開始します。このステップは必須です。
session_start();
// ログインするかどうかを決定する
if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) {
echo "ログインに成功しました";
} else {
// 検証は失敗し、$_SESSION["admin "] false に設定されます
$_SESSION["admin"] = false
die("アクセスする権限がありません")
?> ;
とても簡単ではありませんか？ $_SESSION はサーバー側に保存される配列と考えてください。登録する各変数は配列のキーであり、配列を使用するのと何ら変わりません。

システムからログアウトしたい場合はどうすればよいですか？セッションを破棄するだけです。

session_start();
// このメソッドは、最初に登録されている特定の変数を破棄します
unset($_SESSION['admin']);
// このメソッドは、セッションファイル全体を破棄します
session_destroy ();
?>
Session は Cookie のようにライフサイクルを設定できますか? Session では、Cookie を完全に放棄することになりますか? Session と Cookie を組み合わせて使用​​するのが最も便利だと思います。




http://www.bkjia.com/PHPjc/319317.html

www.bkjia.com

tru​​e

http://www.bkjia.com/PHPjc/319317.html技術記事セッションはテキスト ファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実は、サーバー側のセッションファイルでは、PHPが自動的にセッションファイルの権限を変更しています...