• PHP Cookbook读书笔记 – 第11章Session和持久化


    Session应该算是一个在项目开发中应用的比较多的个功能,用以跟踪用户相关信息的WEB应用程序。相对于cookie来说,可以将session理解为在服务器端保存用户数据的一种方式,不同于cookie的另一个主要特点是session是基于浏览器进程的(就是说1个用户打开2个浏览器窗口,可能会产生2个session)。默认情况下Session是保存在服务器的指定的某个目录下的,具体位置可查看PHP.INI

    截图00

    此图为WAMP的session保存地址

    session_start();
    $_SESSION['visits']++;
    print 'You have visited here '.$_SESSION['visits'].' times.';

    运行上面的代码,每刷新一次,visits就会增加1,但无法跨浏览器,也就意味着如果你在新窗口打开此页面,访问次数显示为1。

    PHP的Session能保持用户信息的秘诀就在于PHP为每个SESSION设置一个SESSION ID,并通过cookie保存到用户端,所以用户在刷新的时候,其实是将cookie中的 SESSION ID传递到服务器,然后在根据服务器上保持的用户信息反馈到用户端。默认情况下,如果用户的浏览器禁用了cookie功能,那么,SESSION ID 将通过URL传递(此方式存在安全风险,对于重要数据应避免此情况发生)

    如何避免在用户浏览器禁用了cookie时不通过URL传递?

    可以通过设置PHP.INI文件只允许通过cookie来传递SESSION ID,将session.user_only_cookies设置为off(上文截图的倒数第二行),如果是无法操作PHP.INI文件的情况下可以通过PHP代码实现

     
    ini_set('session.use_only_cookies', true);
    session_start();
    
    $salt     = 'YourSpecialValueHere';
    $tokenstr = (str) date('W') . $salt;
    $token    = md5($tokenstr);
    
    if (!isset($_REQUEST['token']) || $_REQUEST['token'] != $token) {
        // 提示登录
        exit;
    }
    
    $_SESSION['token'] = $token;
    output_add_rewrite_var('token', $token);

    即便是采用了上述的措施,用户的SESSION ID保存到了cookie也还存在一种潜在风险,攻击者可能通过获取用户的cookie的数据后通过session id获取用户数据。书中采用的办法是通过session_regenerate_id();函数每30秒跟换一次session id来解决此情况,但这样做个人认为比较消耗资源。更好的办法是登录成功时将session id 与用户ip记录到服务器,那么在有效期内session id 如果与IP不一致即提示用户重新登录。

    多服务器共享SESSION数据

    许多的分布式应用需要多台服务器来共享一个用户的session数据,这时,如果按上面说的办法将数据保存到某台服务器的某个目录下,显然是不切实际的。最好是能将SESSION保存到数据库,这样多台应用都可以通过访问数据库的方式来访问session。PEAR包提供了此功能,代码如下,关于PEAR的内容在26章会做介绍。这里只用先了解下即可

    require_once 'HTTP/Session/Container/DB.php';
    
    $s = new HTTP_Session_Container_DB('mysql://user:password@localhost/db');
    ini_get('session.auto_start') or session_start();

    为了提升性能也有用共享内存来保存session数据,书中是以PHP的shmop扩展为例来实现SESSION保存,而通过memcache来实现内存共享session的解决方案应用的更加普遍一些。

    SESSION中能保持对象类型的数据吗?

    这是一个在书中没有提到的话题,session不能直接保存对象,但是有办法就爱那个对象保存到session中,保存前需要对数据进行序列化而在取出数据时需要反序列化,在java或.NET那种原生OO语言中不存在此问题。

    $_SESSION["OO"] = serialize($userInfo);//赋值时把对象序列化一下 
    $userInfo = unserialize($_SESSION["OO"]);//取值的时候再反序列化一下 
  • 相关阅读:
    vss的ss.ini丢失或损坏导致的vss无法登录错误
    prtvu xsdabljc 视图代码
    安装Ehlib经验
    PHP连接MSSQL
    在Access中实现 case when功能
    快捷输入电大学号 delphi代码
    毕业预警的SP
    新系统班级名称规范化
    查询哪些学生没有做课程注册
    第一个PHP数据库查询应用
  • 原文地址:https://www.cnblogs.com/Excellent/p/2279838.html
Copyright © 2020-2023  润新知