PHPにおけるセッション利用の詳しい説明 1/2ページ

セッションはテキストファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。 PHPChina オープンソース コミュニティ ポータル

Cookie の場合、ユーザーがログインしているかどうかを確認したいと仮定すると、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、ページがリクエストされるたびに検証する必要があります。 。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。一つだけの検証はできないからです。理由は、クライアント Cookie の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が cookie 内で true に等しいので、次回は検証する必要はありません。これは間違っていますか?管理者権限を取得するのは非常に危険です。
セッションは異なります。セッションはサーバー側に保存されます。そのため、ログインするかどうかを決定するために $admin 変数を保存するだけです。 $admin 値を true に設定します。値が true であるかどうかを確認します。そうでない場合は、ログイン インターフェイスに移動します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性も軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。
もちろん、簡単な制御やユーザー定義のストレージ (データベースに保存される) など、セッションを使用することには多くの利点があります。ここではこれ以上多くは言いません。
php.ini でセッションを設定する必要がありますか? 誰もが PHP.ini を変更する権限を持っているわけではないため、通常は必要ありません。セッションのデフォルトの保存パスはサーバーのシステム一時フォルダーです。後で紹介する独自のフォルダーに保存します。
まずはセッションの作り方を紹介します。本当に、とてもシンプルです。
セッションセッションを開始し、$admin 変数を作成します:

　　// 启动 session 
　　session_start(); 
　　// 声明一个名为 admin 的变量，并赋空值。 
　　$_session["admin"] = null;　　 
?>

Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出したい場合は、session_start() 関数を使用して、Session を呼び出す前にセッション変数を開始する必要があります。他に何も設定する必要はありません。PHP が自動的にセッション ファイルを作成します。
このプログラムを実行した後、システムの一時フォルダーに移動してセッション ファイルを見つけることができます。通常、ファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の形式で、その後に 32 ビットでエンコードされたランダムな文字列が続きます。エディタで開き、その内容を確認します。
admin|N;
一般に、内容は次のように構成されています:
変数名|型: 長さ: 値; 各変数はセミコロンで区切ります。長さや種類など一部は省略できます。
検証プログラムを見てみましょう。データベースにユーザー名と md5 で暗号化されたパスワードが保存されているとします。

　　// 表单提交后… 
　　$posts = $_POST; 
　　// 清除一些空白符号 
　　foreach ($posts as $key => $value) 
　　{ 
　　$posts[$key] = trim($value); 
　　} 
　　$password = md5($posts["password"]); 
　　$username = $posts["username"]; 
　　$query = “Select `username` FROM `user` Where `password` = ‘$password'”; 
　　// 取得查询结果 
　　$userInfo = $DB->getRow($query); 
　　if (!empty($userInfo)) 
　　{ 
　　if ($userInfo["username"] == $username) 
　　{ 
　　// 当验证通过后，启动 session 
　　session_start(); 
　　// 注册登陆成功的 admin 变量，并赋值 true 
　　$_session["admin"] = true; 
　　} 
　　else 
　　{ 
　　die(“用户名密码错误”); 
　　} 
　　} 
　　else 
　　{ 
　　die(“用户名密码错误”); 
　　} 
　　我们在需要用户验证的页面启动 session，判断是否登陆： 
　　// 防止全局变量造成安全隐患 
　　$admin = false; 
　　// 启动会话，这步必不可少 
　　session_start(); 
　　// 判断是否登陆 
　　if (isset($_SESSION["admin"]) && $_session["admin"] === true) 
　　{ 
　　echo “您已经成功登陆”; 
　　} 
　　else 
　　{ 
　　// 验证失败，将 $_session["admin"] 置为 false 
　　$_session["admin"] = false; 
　　die(“您无权访问”); 
　　} 
　　?>

$_session をサーバー側に保存する各変数と考えてください。はすべて配列のキーであり、配列を使用する場合と違いはありません。

システムからログアウトしたい場合はどうすればよいですか? セッションを破棄するだけです。

　　session_start(); 
　　// 这种方法是将原来注册的某个变量销毁 
　　unset($_session["admin"]); 
　　// 这种方法是销毁整个 session 文件 
　　session_destroy(); 
?>

Session は Cookie のようにライフサイクルを設定できますか? Session では、Cookie は完全に放棄されますか? Session と Cookie を組み合わせて使用​​するのが最も便利だと思います。

セッションはどのようにしてクライアントユーザーを決定するのでしょうか? セッションIDとはセッションファイルのファイル名であり、一意性とランダム性を確保します。セッションの。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。
クライアントがCookieを無効にしない場合、Cookieはセッション開始時にセッションIDとセッション有効期間を保存する役割を果たします。
セッションの有効期間を手動で設定しましょう:

　　session_start(); 
　　// 保存一天 
　　$lifeTime = 24 * 3600; 
　　setcookie(session_name(), session_id(), time() + $lifeTime, “/”); 
　　?>

実際、Session にはセッションの有効期間を設定する関数 session_set_cookie_params(); も用意されています。この関数は session_start() 関数が呼び出される前に呼び出す必要があります。

　　// 保存一天 
　　$lifeTime = 24 * 3600; 
　　session_set_cookie_params($lifeTime); 
　　session_start(); 
　　$_session["admin"] = true; 
　　?>

　　如果客户端使用 IE 6.0 ， session_set_cookie_params(); 函数设置 Cookie 会有些问题，所以我们还是手动调用 setcookie 函数来创建 cookie。 
　　假设客户端禁用 Cookie 怎么办?没办法，所有生存周期都是浏览器进程了，只要关闭浏览器，再次请求页面又得重新注册 Session。那么怎么传递 Session ID 呢?通过 URL 或者通过隐藏表单来传递，PHP 会自动将 session ID 发送到 URL 上，URL 形如：http://www.openphp.cn /index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669，其中 URL 中的参数 PHPSESSID 就是 Session ID了，我们可以使用 $_GET 来获取该值，从而实现 session ID 页面间传递。 

　　// 保存一天 
　　$lifeTime = 24 * 3600; 
　　// 取得当前 session 名，默认为 PHPSESSID 
　　$sessionName = session_name(); 
　　// 取得 session ID 
　　$sessionID = $_GET[$sessionName]; 
　　// 使用 session_id() 设置获得的 session ID 
　　session_id($sessionID); 
　　session_set_cookie_params($lifeTime); 
　　session_start(); 
　　$_session["admin"] = true; 
　　?>

　　对于虚拟主机来说，如果所有用户的 Session 都保存在系统临时文件夹里，将给维护造成困难，而且降低了安全性，我们可以手动设置 Session 文件的保存路径，session_save_path()就提供了这样一个功能。我们可以将 session 存放目录指向一个不能通过 Web 方式访问的文件夹，当然，该文件夹必须具备可读写属性。 

　　// 设置一个存放目录 
　　$savePath = “./session_save_dir/”; 
　　// 保存一天 
　　$lifeTime = 24 * 3600; 
　　session_save_path($savePath); 
　　session_set_cookie_params($lifeTime); 
　　session_start(); 
　　$_session["admin"] = true; 
　　?>

　　同 session_set_cookie_params(); 函数一样，session_save_path() 函数也必须在 session_start() 函数调用之前调用。 
　　我们还可以将数组，对象存储在 session 中。操作数组和操作一般变量没有什么区别，而保存对象的话，PHP 会自动对对象进行序列化(也叫串行化)，然后保存于 session 中。下面例子说明了这一点： 

　　class person 
　　{ 
　　var $age; 
　　function output() { 
　　echo $this->age; 
　　} 
　　function setAge($age) { 
　　$this->age = $age; 
　　} 
　　} 
　　?>

　　setage.PHP 

　　session_start(); 
　　require_once “person.PHP”; 
　　$person = new person(); 
　　$person->setAge(21); 
　　$_session['person'] = $person; 
　　echo “check here to output age”; 
　　?>

　　output.PHP 

　　// 设置回调函数，确保重新构建对象。 
　　ini_set(‘unserialize_callback_func', ‘mycallback'); 
　　function mycallback($classname) { 
　　$classname . “.PHP”; 
　　} 
　　session_start(); 
　　$person = $_session["person"]; 
　　// 输出 21 
　　$person->output(); 
　　?>

　　当我们执行 setage.php 文件的时候，调用了 setage() 方法，设置了年龄为 21，并将该状态序列化后保存在 session 中(PHP 将自动完成这一转换)，当转到 output.php 后，要输出这个值，就必须反序列化刚才保存的对象，又因为在解序列化的时候需要实例化一个未定义类，所以我们定义了以后回调函数，自动包含 person.PHP 这个类文件，因此对象被重构，并取得当前 age 的值为 21，然后调用 output() 方法输出该值。

更多PHP中session使用方法详解第1/2页相关文章请关注PHP中文网！