Session在PHP中的使用

　　在PHP開(kāi)發(fā)中對比起Cookie，session 是存儲在服務(wù)器端的會(huì )話(huà)，相對安全，并且不像 Cookie 那樣有存儲長(cháng)度限制。下面是小編分享的Session在PHP中的使用，歡迎大家參考!

　　php中的Session與Cookie

　　在PHP開(kāi)發(fā)中對比起Cookie，session 是存儲在服務(wù)器端的會(huì )話(huà)，相對安全，并且不像 Cookie 那樣有存儲長(cháng)度限制，本文簡(jiǎn)單介紹 session 的使用。

　　由于 Session 是以文本文件形式存儲在服務(wù)器端的，所以不怕客戶(hù)端修改 Session 內容。實(shí)際上在服務(wù)器端的 Session 文件，PHP 自動(dòng)修改 session 文件的權限，只保留了系統讀和寫(xiě)權限，而且不能通過(guò) ftp 修改，所以安全得多。

　　對于 Cookie 來(lái)說(shuō)，假設我們要驗證用戶(hù)是否登陸，就必須在 Cookie 中保存用戶(hù)名和密碼(可能是 md5 加密后字符串)，并在每次請求頁(yè)面的時(shí)候進(jìn)行驗證。如果用戶(hù)名和密碼存儲在數據庫，每次都要執行一次數據庫查詢(xún)，給數據庫造成多余的負擔。因為我們并不能只做一次驗證。為什么呢?因為客戶(hù)端 Cookie 中的信息是有可能被修改的。假如你存儲 $admin 變量來(lái)表示用戶(hù)是否登陸，$admin 為 true 的時(shí)候表示登陸，為 false 的時(shí)候表示未登錄，在第一次通過(guò)驗證后將 $admin 等于 true 存儲在 Cookie，下次就不用驗證了，這樣對么?錯了，假如有人偽造一個(gè)值為 true 的 $admin 變量那不是就立即取的了管理權限么?非常的不安全。

　　而 Session 就不同了，Session 是存儲在服務(wù)器端的，遠程用戶(hù)沒(méi)辦法修改 session 文件的內容，因此我們可以單純存儲一個(gè) $admin 變量來(lái)判斷是否登陸，首次驗證通過(guò)后設置 $admin 值為 true，以后判斷該值是否為 true，假如不是，轉入登陸界面，這樣就可以減少很多數據庫操作了。而且可以減少每次為了驗證 Cookie 而傳遞密碼的不安全性了(session 驗證只需要傳遞一次，假如你沒(méi)有使用 SSL 安全協(xié)議的話(huà))。即使密碼進(jìn)行了 md5 加密，也是很容易被截獲的。

　　當然使用 session 還有很多優(yōu)點(diǎn)，比如控制容易，可以按照用戶(hù)自定義存儲等(存儲于數據庫)。我這里就不多說(shuō)了。

　　session 在 php.ini 是否需要設置呢?一般不需要的，因為并不是每個(gè)人都有修改 PHP.ini 的權限，默認 session 的存放路徑是服務(wù)器的系統臨時(shí)文件夾，我們可以自定義存放在自己的文件夾里，這個(gè)稍后我會(huì )介紹。

　　Php如何創(chuàng )建Session

　　開(kāi)始介紹如何創(chuàng )建 session。非常簡(jiǎn)單，真的。

　　啟動(dòng) session 會(huì )話(huà)，并創(chuàng )建一個(gè) $admin 變量：

　　// 啟動(dòng) session session_start(); // 聲明一個(gè)名為 admin 的變量，并賦空值。 $_session["admin"] = null; ?>

　　如果你使用了 Session，或者該 PHP 文件要調用 Session 變量，那么就必須在調用 Session 之前啟動(dòng)它，使用 session_start() 函數。其它都不需要你設置了，PHP 自動(dòng)完成 session 文件的創(chuàng )建。

　　執行完這個(gè)程序后，我們可以到系統臨時(shí)文件夾找到這個(gè) session 文件，一般文件名形如：sess_4c83638b3b0dbf65583181c2f89168ec，后面是 32 位編碼后的隨機字符串。用編輯器打開(kāi)它，看一下它的內容：

　　admin|N;

　　一般內容結構：

　　變量名|類(lèi)型:長(cháng)度:值;

　　并用分號隔開(kāi)每個(gè)變量。有些是可以省略的，比如長(cháng)度和類(lèi)型。

　　我們來(lái)看一下驗證程序，假設數據庫存儲的是用戶(hù)名和 md5 加密后的密碼：

　　// 表單提交后...   $posts = $_POST; // 清除一些空白符號 foreach ($posts as $key => $value) { $posts[$key] = trim($value); } $password = md5($posts["password"]); $username = $posts["username"]; $query = "SELECT `username` FROM `user` WHERE `password` = '$password'"; // 取得查詢(xún)結果 $userInfo = $DB->getRow($query); if (!emptyempty($userInfo)) { if ($userInfo["username"] == $username) { // 當驗證通過(guò)后，啟動(dòng) session session_start(); // 注冊登陸成功的 admin 變量，并賦值 true $_SESSION["admin"] = true; } else { die("用戶(hù)名密碼錯誤"); } } else { die("用戶(hù)名密碼錯誤"); }

　　我們在需要用戶(hù)驗證的頁(yè)面啟動(dòng) session，判斷是否登陸：

　　// 防止全局變量造成安全隱患 $admin = false; // 啟動(dòng)會(huì )話(huà)，這步必不可少 session_start(); // 判斷是否登陸 if (isset($_SESSION["admin"]) && $_SESSION["admin"] == true) { echo "您已經(jīng)成功登陸"; } else { // 驗證失敗，將 $_session["admin"] 置為 false $_SESSION["admin"] = false; die("您無(wú)權訪(fǎng)問(wèn)"); } ?>

　　是不是很簡(jiǎn)單呢?將 $_session 看成是存儲在服務(wù)器端的數組即可，我們注冊的每一個(gè)變量都是數組的鍵，跟使用數組沒(méi)有什么分別。

　　如果要登出系統怎么辦?銷(xiāo)毀 session 即可。

　　Session 能否像 Cookie 那樣設置生存周期呢?有了 Session 是否就完全拋棄 Cookie 呢?我想說(shuō)，結合 Cookie 來(lái)使用 session 才是最方便的。

　　Session 是如何來(lái)判斷客戶(hù)端用戶(hù)的呢?它是通過(guò) Session ID 來(lái)判斷的，什么是 Session ID，就是那個(gè) Session 文件的文件名，Session ID 是隨機生成的，因此能保證唯一性和隨機性，確保 Session 的安全。一般如果沒(méi)有設置 Session 的生存周期，則 Session ID 存儲在內存中，關(guān)閉瀏覽器后該 ID 自動(dòng)注銷(xiāo)，重新請求該頁(yè)面后，重新注冊一個(gè) session ID。

　　如果客戶(hù)端沒(méi)有禁用 Cookie，則 Cookie 在啟動(dòng) Session 會(huì )話(huà)的時(shí)候扮演的是存儲 Session ID 和 session 生存期的角色。 我們來(lái)手動(dòng)設置 session 的生存期：

　　session_start(); // 保存一天 $lifeTime = 24 * 3600; setcookie(session_name(), session_id(), time() + $lifeTime, "/"); ?>

　　其實(shí) Session 還提供了一個(gè)函數 session_set_cookie_params(); 來(lái)設置 Session 的生存期的，該函數必須在 session_start() 函數調用之前調用：

　　// 保存一天

　　如果客戶(hù)端使用 IE 6.0 ， session_set_cookie_params(); 函數設置 Cookie 會(huì )有些問(wèn)題，所以我們還是手動(dòng)調用 setcookie 函數來(lái)創(chuàng )建 cookie。

　　假設客戶(hù)端禁用 Cookie 怎么辦?沒(méi)辦法，所有生存周期都是瀏覽器進(jìn)程了，只要關(guān)閉瀏覽器，再次請求頁(yè)面又得重新注冊 Session。那么怎么傳遞 Session ID 呢?通過(guò) URL 或者通過(guò)隱藏表單來(lái)傳遞，PHP 會(huì )自動(dòng)將 session ID 發(fā)送到 URL 上，URL 形如：http://www.openphp .cn /index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669，其中 URL 中的參數 PHPSESSID 就是 Session ID了，我們可以使用 $_GET 來(lái)獲取該值，從而實(shí)現 session ID 頁(yè)面間傳遞。

　　// 保存一天

　　對于虛擬主機來(lái)說(shuō)，如果所有用戶(hù)的 Session 都保存在系統臨時(shí)文件夾里，將給維護造成困難，而且降低了安全性，我們可以手動(dòng)設置 Session 文件的保存路徑，session_save_path()就提供了這樣一個(gè)功能。我們可以將 session 存放目錄指向一個(gè)不能通過(guò) Web 方式訪(fǎng)問(wèn)的文件夾，當然，該文件夾必須具備可讀寫(xiě)屬性。

　　同 session_set_cookie_params(); 函數一樣，session_save_path() 函數也必須在 session_start() 函數調用之前調用。 我們還可以將數組，對象存儲在 session 中。操作數組和操作一般變量沒(méi)有什么區別，而保存對象的話(huà)，PHP 會(huì )自動(dòng)對對象進(jìn)行序列化(也叫串行化)，然后保存于 session 中。下面例子說(shuō)明了這一點(diǎn)：

　　age; } function setAge($age) { $this->age = $age; } } ?> setage.PHP setAge(21); $_session['person'] = $person; echo "check here to output age"; ?> output.PHP output(); ?>

　　當我們執行 setage.php 文件的時(shí)候，調用了 setage() 方法，設置了年齡為 21，并將該狀態(tài)序列化后保存在 session 中(PHP 將自動(dòng)完成這一轉換)，當轉到 output.php 后，要輸出這個(gè)值，就必須反序列化剛才保存的對象，又因為在解序列化的時(shí)候需要實(shí)例化一個(gè)未定義類(lèi)，所以我們定義了以后回調函數，自動(dòng)包含 person.PHP 這個(gè)類(lèi)文件，因此對象被重構，并取得當前 age 的值為 21，然后調用 output() 方法輸出該值。

【Session在PHP中的使用】相關(guān)文章：

如何使用php中session04-01

PHP中session使用方法詳解03-03

教你如何使用php的session07-13

php使用MySQL保存session會(huì )話(huà)02-17

PHP創(chuàng )建和使用session cookie變量05-16

php中session的基礎知識04-02

PHP會(huì )話(huà)session 時(shí)間設定使用入門(mén)05-01

php中Session存儲到Redis的方法05-01

PHP中使用session實(shí)現保存用戶(hù)登錄信息12-14