关于保存问题
如果高并发不多的话可以保存session 否则用cookie吧,session可以保存到其他服务器哦,比如其他服务器的redis memacache(没有持久化,崩了登录信息就全没了)
HTTP协议是无状态的协议,不能告诉我们是否来自同一个人的请求。
会话控制:允许服务器跟踪同一个客户端做出的连续请求。
同一台电脑上面的同一个浏览器。
cookie,服务器端给客户端的信息让客户端存储。
原理:一个用户在访问服务器的时候,服务器脚本根据业务逻辑设置cookie给用户,用户在客户端电脑特定的文件夹下创建关于这个网站的文本文件(通常和域名有关),用于记录要保存的变量,访问多个网站的时候就创建多个这样的文件,用户在访问其他该网站的页面的时候http协议会将文件中的值带给其他页面以供使用。
这个保存网站信息的文件叫cookie文件,一整套这样的机制叫做cookie机制。
文件存储的位置:
IE:C:Documents and SettingsyanhaijingCookies
火狐浏览器:工具-》选项-》隐私-》使用自定义记录历史-》显示cookies
早期cookie的使用是有争议的。服务器端往客户端写文件是很敏感的。但是其实cookie是个很特殊的东西,他必须在特定的文件夹下面创建特定的文件,并且只能是文本文件。
保存cookie:
setcookie(),将一个或多个变量放到客户端的cookie中。
setcookie('名','值',保存时间秒);
setcookie("user[username]", "skygao");//可以是数组和多维数组
setcookie("user[password]", md5("123456")); //$_COOKIE["user"]["password"]
注意:
1、第三个参数保存时间如果不写就是关闭浏览器就删除该cookie,默认值是0
如何获得cookie的值
$_COOKIE
例子:
$_COOKIE['woaini']='saibeidexue'; var_dump($_COOKIE); array(2) { ["name"]=> string(6) "values" ["woaini"]=> string(11) "saibeidexue" }
删除cookie
setcookie(名,'',time()-1) 告诉客户端这个值已经过期。
注意:
1、设置cookie的值必须使用setcookie设置不能使用$_COOKIE['']这种方式设置 而sesson才是$_SESSION['val']='value'
2、第一次在设置cookie页面下面马上打印$_COOKIE是打印不出来的。
3、cookie里面设置设置关联数组也可以设置索引数组,但是所有数组的下标必须明确给出。
4、注意设置setcookie的第四个参数cookie的有效路径。他默认的路径是当前目录的路径。/表示的是网站的根目录。你在哪里设置就在哪里删除。
cookie华联超市。
session 物美超市
原理:
客户端第一次访问网站的时候服务器会给一个不重复号码(sessionid)给客户端,客户端将sessionid放在cookie里面。在创建sessionid的同时会在服务器的指定的文件夹下面创建一个和sessionid名字一样的文件,当下面用户再次请求这个网站的其他页面的时候将session id通过cookie带过来,然后该网站服务器通过sessionid在存储session的文件夹里面找对应的文件,从文件里面获取值。,所当用户禁用cookie时sessonid就无法保存了,我们在每次刷新或者请求别的页面时,服务器都将当做第一次请求,从而分配新的sessionid,这时我们就需要在每次请求的时候都需要post或者get传递该sessionid 然后用的时候使用session_id($_POST['session'])来告诉浏览器我需要这个sessionid'的数据,还有这条语句要在session_start()前
然后我再聊下session_id吧,它是保存在cookie中,首先session是一个只要活动就不会过期的东西,只要开启cookie,每一次会话,session_id都不会改变,我们可以根据session_id来判断用户是否是正常登陆,防止用户伪造session。然后我们也要防止session被劫持,我们可以对session_id进行再一次的加密,防止暴力破解,还有可以设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端脚本访问这个Cookie,从而有效的防止XSS攻击。
第一次访问:
必要条件:
①启用session_start()
②php .ini设置
session.name = PHPSESSID linux:session.save_path = "/tmp" or windows(phpstudy):session.save_path="D:phpStudy mp mp"
步骤:浏览该网页-》尝试读取session.name的cookie(第一次访问无cookie是浏览器为发送该cookie从而是获取不到的)
为读取到-》创建$_SESSION变量,同时创建一个sess_liddbn1fnjj0t0ngae181ud9bt(名称为随机值)的session文件,
同时同时在session.save_path文件夹下生成和sessionid名字一样的session文件:sess_liddbn1fnjj0t0ngae181ud9bt(名称为随机值)
同时将liddbn1fnjj0t0ngae181ud9bt作为PHPSESSID的cookie值返回给浏览器端让其保存
注意:浏览器的cookie都是通过header头设置的cookie php中的setcookie是对header的封装
header("Set-Cookie: PHPSESSID=liddbn1fnjj0t0ngae181ud9bt; path=/; domain=localhost; expires=".gmstrftime("%A, %d-%b-%Y %H:%M:%S GMT",time()+9600));
第二次访问:
浏览器存在cookie 访问时header头携带cookie值服务器,服务器尝试读取session.name的cookie(第二次访问服务器能获取到cookie了)
创建$_SESSION变量,并从相应的目录中(可以在php.ini中设置session.save_path的路径)读取sess_liddbn1fnjj0t0ngae181ud9bt文件,将字符装在入$_SESSION变量中;
--------------------------------------------------------------------------------------------------------------------------------
1、开启session(只有开启了session才能告诉PHP让它去调度服务器中的一些session机制。)
session_start();
session_start()的作用:
1、第一次时会向客户端发送session id,创建session文件。
2、以后使用时,根据http协议带过来的session id 找对应的服务器里面的session文件。
2、使用$_SESSION来存储值和读取值
$_SESSION
3、删除session
1、开启session_start();
2、清空session 数组 $_SESSION unset($_SESSION)
3、销毁session文件 session_destroy();
4、删除客户端session ID
setcookie('PHPSESSID','',time()-1,'/');
setcookie(session_name(),'',time()-1,'/');//
PHPSESSID 这个SESSION名可以改变
session_name('PHPSESSID'); 设置session的名字 或者 session.name='PHPSESSID' php.ini 设置session的名字:
session_name(); 获得session的名字
session_id() 获取/设置当前会话 ID
session_id(‘qwer23456’) 设置当前会话 ID
设置session生命周期 ini_set('session.gc_maxlifetime',3600);//设置session在服务器的存储事假 ini_set('session.cookie_lifetime',3600);//设置session在cookie中的存储时间 获取session生命周期 ini_get('session.gc_maxlifetime');
session.save_path session的保存路径
session_name()的默认值PHPSESSID
session_id() 默认值类似 9h1bano5p1lvt6tac5nvbboac7
$_COOKIE[session_name()] 等价于$_COOKIE['PHPSESSID']
sesion_id()=session_id('PHPSESSID') OR session_id(session_name()) 默认值类似 '9h1bano5p1lvt6tac5nvbboac7';
session是通过cookie('PHPSESSID')即通过cookie(session_name())保存的 cookie保存了sessionid
thinkphp3.23 设置过期时间无效的情况
在config .php配置如下:其中name(即改变上面的默认PHPSESSID)和expire必须
'SESSION_OPTIONS' => array( //'name' => 'BJYSESSION', //设置session名 必须设置这个过期时间才会生效why?? 'expire' => 10, //SESSION保存15天 'use_trans_sid' => 1, //跨页传递 'use_only_cookies' => 0, //是否只开启基于cookies的session的会话方式 ), // session 配置数组 支持type name id path expire domain 等参数
//设置用户自定义会话存储器的函数默认为files文件存储
session.save_handler = files
//session.save_path 定义了传递给存储处理器的参数。如果选择了默认的 files 文件处理器,则此值是创建文件的路径。默认为 /tmp
;session.save_path = "/tmp" //脚本读取/设置当前会话的保存路径session_save_path()。
//指定模块是否使用严格的会话id模式。如果启用此模式,模块不接受未初始化的会话ID。如果从浏览器发送未初始化的会话ID,则将新的会话ID发送到浏览器。通过采用严格模式的会话,保护应用程序不受会话固定的影响。默认值为0(禁用)
session.use_strict_mode = 0
// 指定是否在客户端用 cookie 来存放会话 ID。默认为 1(启用)
session.use_cookies = 1
// 指定是否在客户端仅仅使用 cookie 来存放会话 ID。。启用此设定可以防止有关通过 URL 传递会话 ID 的攻击。此设定是 PHP 4.3.0 添加的。自PHP 5.3.0开始,默认值改为1(启用)
session.use_only_cookies = 1
//指定会话名以用做 cookie 的名字。只能由字母数字组成,默认为 PHPSESSID
session.name = PHPSESSID
//指定会话模块是否在请求开始时自动启动一个会话。默认为 0(不启动)
session.auto_start = 0
以下五个参数可以通过 session_get_cookie_params() 和 session_set_cookie_params()来获取或者设置
//以秒数指定了发送到浏览器的cookie的生命周期,值为0表示“直到关闭浏览器”。默认为0。这个与程序中setCookie(“name”,”zhangsan”,time()+60);类似
①session.cookie_lifetime = 0
//指定了要设定会话 cookie 的路径。默认为 /
②session.cookie_path = /
// 指定了要设定会话 cookie 的域名。默认为无,表示根据 cookie 规范产生 cookie 的主机名
③session.cookie_domain =
指定是否仅通过安全连接发送 cookie。默认为 off。此设定是 PHP 4.0.4 添加的
④session.cookie_secure =
//将cookie标记为只能通过HTTP协议访问。这意味着JavaScript等脚本语言无法访问cookie。此设置可以有效地帮助通过XSS攻击减少身份盗窃(尽管并非所有浏览器都支持此设置)
⑤session.cookie_httponly =
//定义用来序列化/解序列化的处理器名字
session.serialize_handler = php
//session.gc_divisor 与 session.gc_probability 合起来定义了在每个会话初始化时启动 gc(garbage collection 垃圾回收)进程的概率。此概率用 gc_probability/gc_divisor 计算得来。例如 1/100 意味着在每个请求中有 1% 的概率启动 gc 进程。session.gc_probability 默认为1 session.gc_divisor 默认为 100
下面这组数据就表示每一千个用户请求或者一个用户请求1000次(调用session_start())的时候就可能有1次触发回收机制(这里的请求是指session_start触发的次数)
session.gc_probability = 1 //触发回收机制概率分子
session.gc_divisor = 1000 //触发回收机制概率分母
//session的最大保持时间
session.gc_maxlifetime = 1440
//包含有用来检查每个 HTTP Referer 的子串。如果客户端发送了 Referer 信息但是在其中并未找到该子串,则嵌入的会话 ID 会被标记为无效。默认为空字符串
//Referer 返回载入当前文档的文档的 URL 参数是一个网址
session.referer_check = #防止带有ID的外部URL
// 给出了一个到外部资源(文件)的路径,该资源将在会话 ID 创建进程中被用作附加的熵值资源
session.entropy_file=
session.entropy_length=0 指定了从上面的文件中读取的字节数。默认为 0(禁用)。
//指定会话页面所使用的缓冲控制方法
session.cache_limiter = nocache
以分钟数指定缓冲的会话页面的存活期,此设定对 nocache 缓冲控制方法无效。默认为 180。参见 session_cache_expire()
session.cache_expire = 180
//开启后,指定是否启用透明 SID 支持。默认为 0(禁用) 为每个url后添加了session_name=session_id。
注意:
基于 URL 的会话管理比基于 cookie 的会话管理有更多安全风险。例如用户有可能通过 email 将一个包含有效的会话 ID 的 URL 发给他的朋友,或者用户总是有可能在收藏夹中存有一个包含会话 ID 的 URL 来以同样的会话 ID 去访问站点
session.use_trans_sid = 0
指定在启用透明sid支持时重写哪些HTML标记以包含会话ID。 默认为a = href,area = href,frame = src,input = src,form = form是特殊标记。 <input hidden =“session_id”name =“session_name”>被添加为表单变量
session.trans_sid_tags=
session.hash_function = 0 #hash方法{0:md5(128 bits),1:SHA-1(160 bits)}
session.hash_bits_per_character = 5 #当转换二进制hash数据奥可读形式是,每个字符保留位数
//指定在使用透明 SID 支持时哪些 HTML 标记会被修改以加入会话 ID
url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=fakeentry"
session.save_path="D:phpStudy mp mp"
;session.upload_progress.enabled = On
;session.upload_progress.cleanup = On
;session.upload_progress.prefix = "upload_progress_"
;session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"
;session.upload_progress.freq = "1%"
;session.upload_progress.min_freq = "1"