欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  php教程

PHP Cookbook读书笔记 – 第11章Session和持久化

程序员文章站 2022-06-13 23:26:39
...

Session应该算是一个在项目开发中应用的比较多的个功能,用以跟踪用户相关信息的WEB应用程序。相对于cookie来说,可以将session理解为在服务器端保存用户数据的一种方式,不同于cookie的另一个主要特点是session是基于浏览器进程的(就是说1个用户打开2个浏

PHP Cookbook读书笔记 – 第11章Session和持久化Session应该算是一个在项目开发中应用的比较多的个功能,用以跟踪用户相关信息的WEB应用程序。相对于cookie来说,可以将session理解为在服务器端保存用户数据的一种方式,不同于cookie的另一个主要特点是session是基于浏览器进程的(就是说1个用户打开2个浏览器窗口,可能会产生2个session)。默认情况下Session是保存在服务器的指定的某个目录下的,具体位置可查看PHP.INI

PHP Cookbook读书笔记 – 第11章Session和持久化

此图为WAMP的session保存地址

session_start();
$_SESSION['visits']++;
print 'You have visited here '.$_SESSION['visits'].' times.';

运行上面的代码,每刷新一次,visits就会增加1,但无法跨浏览器,也就意味着如果你在新窗口打开此页面,访问次数显示为1。

PHP的Session能保持用户信息的秘诀就在于PHP为每个SESSION设置一个SESSION ID,并通过cookie保存到用户端,所以用户在刷新的时候,其实是将cookie中的 SESSION ID传递到服务器,然后在根据服务器上保持的用户信息反馈到用户端。默认情况下,如果用户的浏览器禁用了cookie功能,那么,SESSION ID 将通过URL传递(此方式存在安全风险,对于重要数据应避免此情况发生)

如何避免在用户浏览器禁用了cookie时不通过URL传递?

可以通过设置PHP.INI文件只允许通过cookie来传递SESSION ID,将session.user_only_cookies设置为off(上文截图的倒数第二行),如果是无法操作PHP.INI文件的情况下可以通过PHP代码实现

 
ini_set('session.use_only_cookies', true);
session_start();

$salt     = 'YourSpecialValueHere';
$tokenstr = (str) date('W') . $salt;
$token    = md5($tokenstr);

if (!isset($_REQUEST['token']) || $_REQUEST['token'] != $token) {
    // 提示登录
    exit;
}

$_SESSION['token'] = $token;
output_add_rewrite_var('token', $token);

即便是采用了上述的措施,用户的SESSION ID保存到了cookie也还存在一种潜在风险,攻击者可能通过获取用户的cookie的数据后通过session id获取用户数据。书中采用的办法是通过session_regenerate_id();函数每30秒跟换一次session id来解决此情况,但这样做个人认为比较消耗资源。更好的办法是登录成功时将session id 与用户ip记录到服务器,那么在有效期内session id 如果与IP不一致即提示用户重新登录。

多服务器共享SESSION数据

许多的分布式应用需要多台服务器来共享一个用户的session数据,这时,如果按上面说的办法将数据保存到某台服务器的某个目录下,显然是不切实际的。最好是能将SESSION保存到数据库,这样多台应用都可以通过访问数据库的方式来访问session。PEAR包提供了此功能,代码如下,关于PEAR的内容在26章会做介绍。这里只用先了解下即可

require_once 'HTTP/Session/Container/DB.php';

$s = new HTTP_Session_Container_DB('mysql://user:password@localhost/db');
ini_get('session.auto_start') or session_start();

为了提升性能也有用共享内存来保存session数据,书中是以PHP的shmop扩展为例来实现SESSION保存,而通过memcache来实现内存共享session的解决方案应用的更加普遍一些。

SESSION中能保持对象类型的数据吗?

这是一个在书中没有提到的话题,session不能直接保存对象,但是有办法就爱那个对象保存到session中,保存前需要对数据进行序列化而在取出数据时需要反序列化,在java或.NET那种原生OO语言中不存在此问题。

$_SESSION["OO"] = serialize($userInfo);//赋值时把对象序列化一下 
$userInfo = unserialize($_SESSION["OO"]);//取值的时候再反序列化一下