php如何實現session的管理

會話模組無法保證你儲存在會話中的資訊只能被創建會話的使用者本身可見。你需要採取額外的手段來保護會話中的機密信息， 至於採取何種方式來保護機密信息， 取決於你在會話中存儲的數據的機密程度。

session_start — 啟動新會話或重複使用現有會話

嚴格會話管理 #（推薦學習：PHP程式設計從入門到精通）

目前，預設情況下，PHP 是以自適應的方式來管理會話的， 這種方式使用起來很靈活，但是同樣也帶來了一定的風險。

從 PHP 5.5.2 開始，新增加了一個設定項： session.use_strict_mode。當啟用這個配置項，並且你所使用的會話存儲處理器支援的話，未經初始化的會話ID 會被拒絕， 並為其生成一個全新的會話，這可以避免攻擊者使用一個已知的會話ID 來進行攻擊。

 例如，攻擊者可以透過郵件傳送一個包含會話 ID 的連結給受害者：http://example.com/page.php?PHPSESSID=123456789。

如果啟用了 session.use_trans_sid 配置項， 那麼受害者將會使用攻擊者所提供的會話 ID 開始一個新的會話。如果啟用了 session.use_strict_mode 選項，就可以降低風險。

Warning

使用者自訂的會話記憶體也可以透過實作會話 ID 驗證來支援嚴格會話模式。建議使用者在實作自己的會話記憶體的時候， 一定要對會話 ID 的合法性進行驗證。

在瀏覽器一側，可以為用來保存會話 ID 的 cookie 設定網域，路徑， 僅允許 HTTP 訪問，必須使用 HTTPS 存取等安全性屬性。如果使用的是 PHP 7.3. 版本，也可以對 cookie 設定 SameSite 屬性。攻擊者可以利用瀏覽器的這些特性來設定永久可用的會話 ID。 

只是設定 session.use_only_cookies 設定項目 無法解決這個問題。而 session.use_strict_mode 配置項目 可以降低這種風險。設定 session.use_strict_mode=On， 來拒絕未經初始化的會話 ID。

Note: 雖然使用session.use_strict_mode 設定項可以降低靈活會話管理方式所帶來的風險， 攻擊者還是透過利用JavaScript 注入等手段， 強制使用者使用由攻擊者創建的並且經過了正常的初始化的會話ID。

 如何降低這種風向，可以參考本手冊的建議部分。如果你已經啟用了session.use_strict_mode 配置項， 同時使用基於時間戳記的會話管理， 並且透過設定session_regenerate_id() 設定項來重新產生會話ID， 那麼，攻擊者產生的會話ID 就可以被刪除掉了。

 當發生對過期會話存取的時候， 你應該保存活躍會話的所有數據， 以備後續分析使用。然後讓使用者退出目前的會話，並且重新登入。防止攻擊者繼續使用「偷」來的會話。

Warning

對過期會話資料的存取並不總是意味著正在遭受攻擊。不穩定的網路狀況，或不正確的會話刪除行為， 都會導致合法的使用者產生存取過期會話資料的情況。

相關專題推薦：php session （包含圖文、影片、案例）

以上是php如何實現session的管理的詳細內容。更多資訊請關注PHP中文網其他相關文章！