PHPでのセッションの使い方を詳しく解説 1/2ページ_PHPチュートリアル

セッションはテキストファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。 PHPChina オープンソース コミュニティ ポータル

Cookie の場合、ユーザーがログインしているかどうかを確認したいと仮定すると、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、ページがリクエストされるたびに検証する必要があります。 。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。一つだけの検証はできないからです。理由は、クライアント Cookie の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が cookie 内で true に等しいので、次回は検証する必要はありません。これは間違っていますか?管理者権限を取得するのは非常に危険です。
セッションは異なります。セッションはサーバー側に保存されます。そのため、ログインするかどうかを決定するために $admin 変数を保存するだけです。 $admin 値を true に設定します。値が true であるかどうかを確認します。そうでない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性も軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。
もちろん、簡単な制御やユーザー定義のストレージ（データベースに保存）など、セッションを使用することには多くの利点があります。ここではこれ以上多くは言いません。
php.ini でセッションを設定する必要がありますか? 誰もが PHP.ini を変更する権限を持っているわけではないため、通常は必要ありません。セッションのデフォルトの保存パスはサーバーのシステム一時フォルダーです。後で紹介する独自のフォルダーに保存します。
まずはセッションの作り方を紹介します。本当に、とてもシンプルです。
セッションを開始し、$admin 変数を作成します:

コードをコピーします コードは次のとおりです:

// セッションを開始します
session_start()
// admin という名前の変数を宣言し、 null 値。
$_session["admin"] = null;
?>

Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出したい場合は、session_start() 関数を使用してセッションを呼び出す前にそれを開始する必要があります。 。他に何も設定する必要はありません。PHP が自動的にセッション ファイルを作成します。
このプログラムを実行すると、システムの一時フォルダーにセッション ファイルが見つかります。通常、ファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の後に 32 ビットでエンコードされたランダムな文字列が続く形式になっています。エディタで開き、その内容を確認します:
admin|N;
一般に、内容は次のように構成されています:
変数名|型:長さ:値; そして、各変数をセミコロンで区切ります。長さや種類など一部は省略できます。
データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証プログラムを見てみましょう:

コードをコピー コードは次のとおりです:

// フォームが送信された後...
$posts = $_POST;
// いくつかの空白記号をクリアします
foreach ($posts as $key => $value)
{
$posts[$key] = rim($value
$password'";
// クエリ結果を取得
$userInfo = $DB->getRow($query);
if (!empty($userInfo))
{
if ($userInfo[" username"] == $username)
{
// 検証が成功したら、セッションを開始します
session_start();
// ログイン成功のための admin 変数を登録し、値 true を割り当てます
$_session["admin"] = true;
}
else
{
die("ユーザー名とパスワードが間違っています");
die("ユーザー名とパスワードが間違っています")
} でセッションを開始します。ログインするかどうかを決定するためにユーザー認証が必要なページ:
// グローバル変数がセキュリティリスクを引き起こすのを防ぎます
$admin = false
// セッションを開始します。このステップは必須です
session_start(); // するかどうかを決定します。ログイン
if (isset($_SESSION["admin"]) && $_session ["admin"] === true)
{
echo "ログインに成功しました"
}
else
{
// 検証失敗しました、$_session["admin"] を false に設定します
$_session["admin "] = false;
}
?> ですよね。 $_session をサーバー側に保存される配列と考えてください。登録する変数はすべて配列のキーであり、配列を使用する場合と何ら変わりはありません。
システムからログアウトしたい場合はどうすればよいですか? セッションを破棄するだけです。



コードをコピーします

コードは次のとおりです:


session_start();
// このメソッドは、最初に登録されている特定の変数を破棄します

unset($_session["admin"]); // これ セッションファイル全体を破棄する方法です
session_destroy();

Session では Cookie を完全に放棄するということでしょうか？ Cookie と組み合わせたセッションが最も便利です。 セッションはどのようにしてクライアントユーザーを決定するのでしょうか? セッションIDとはセッションファイルのファイル名であり、一意性とランダム性を確保します。セッションの。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。 クライアントがCookieを無効にしない場合、Cookieはセッション開始時にセッションIDとセッション有効期間を保存する役割を果たします。 セッションの有効期間を手動で設定しましょう:

コードをコピーします

コードは次のとおりです:


session_start()
// 1日保存します

$lifeTime = 24 * 3600;
setcookie(session_name( ), session_id( ), time() + $lifeTime, “/”);
?>


実際、Session には Session_set_cookie_params(); の前にこの関数を呼び出す必要があります。 session_start() 関数を呼び出します:

コードをコピーします: コードは次のとおりです:

// 1 日保存します
$lifeTime = 24 * 3600
session_set_cookie_params($lifeTime); ;
$_ses sion["admin"] = true ;
?>

クライアントが IE 6.0 を使用している場合、session_set_cookie_params() 関数を手動で呼び出します。クッキーを作成します。
クライアントが Cookie を無効にしている場合はどうすればよいですか? ブラウザを閉じてページを再度リクエストする限り、ライフサイクル全体がセッションを再登録する必要があります。では、セッション ID を渡すにはどうすればよいでしょうか? URL または非表示フォームを介して渡すと、URL は http://www.openphp.cn /index.php の形式で自動的に送信されます。 ?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669。URL のパラメータ PHPSESSID はセッション ID であり、$_GET を使用して値を取得することで、ページ間でセッション ID を転送できます。

コードをコピーします コードは次のとおりです:

// 1 日保存します
$lifeTime = 24 * 3600;
// 現在のセッション名を取得します、デフォルトは PHPSESSID です
$sessionName = session_name()
// セッション ID を取得します
$sessionID = $_GET; [$sessionName];
// session_id() を使用して、取得したセッション ID を設定します
session_set_cookie_params($lifeTime);
$_session["admin"]
; >


仮想ホストの場合、すべてのユーザーセッションがシステムの一時フォルダーに保存されると、メンテナンスが困難になり、セキュリティが低下します。 session_save_path() は、そのようなファイルの保存パスを手動で設定できます。関数。 。もちろん、Web 経由でアクセスできないフォルダーをセッション保存ディレクトリに指定することもできます。そのフォルダーには読み取り/書き込み属性が必要です。

コードをコピーします コードは次のとおりです:

// 保存ディレクトリを設定します

$savePath = “./session_save_dir/”
// 1日保存します
$lifeTime = 24 * 3600;
save_path($savePath);
session_start();
?> session_set_cookie_params; save_path() 関数session _start() 関数にも含める必要があります。呼び出す前に呼び出されます。
配列やオブジェクトをセッションに保存することもできます。配列の操作と一般変数の操作に違いはありません。オブジェクトを保存する場合、PHP はオブジェクトを自動的にシリアル化し (シリアル化とも呼ばれます)、セッションに保存します。次の例はこれを示しています:



コードをコピーします。

コードは次のとおりです:

Class Person { var $ Age; Function Output () {

}}} function setage { start() ;
require_once
>


output.PHP



コードは次のとおりです:

// オブジェクトが確実に再構築されるようにコールバック関数を設定します。
ini_set('unserialize_callback_func', 'mycallback');
$classname . ".PHP"

session_start(); / 出力 21 $person->output(); ?>

setup.php ファイルを実行すると、setage() メソッドが呼び出され、年齢が 21 に設定され、ステータスがシリアル化されます。 session (PHP はこの変換を自動的に完了します)、output.php に移動するときに、この値を出力するには、保存したばかりのオブジェクトを逆シリアル化する必要があります。また、シリアル化されていないオブジェクトは逆シリアル化中にインスタンス化する必要があるため、クラスを定義します。コールバック関数。この関数には person.PHP クラス ファイルが自動的にインクルードされるため、オブジェクトが再構築され、現在の年齢値が 21 として取得され、output() メソッドが呼び出されて値が出力されます。

http://www.bkjia.com/PHPjc/317949.html

www.bkjia.com

tru​​e

http://www.bkjia.com/PHPjc/317949.html

技術記事セッションはテキスト ファイルの形式でサーバー側に保存されるため、クライアントはセッションのコンテンツを変更することを恐れません。実は、サーバー側のセッションファイルでは、PHPが自動的にセッションを変更してくれます...