Explication détaillée de l'utilisation de la session en PHP Page 1/2-PHP开发-php.cn

La Session étant stockée côté serveur sous la forme d'un fichier texte, il n'y a aucune crainte que le client modifie le contenu de la Session. En fait, dans le fichier de session côté serveur, PHP modifie automatiquement les autorisations du fichier de session, ne conservant que les autorisations de lecture et d'écriture du système, et ne peut pas être modifié via FTP, c'est donc beaucoup plus sûr. Portail communautaire Open Source PHPChina

Pour les cookies, si nous voulons vérifier si l'utilisateur est connecté, nous devons enregistrer le nom d'utilisateur et le mot de passe (éventuellement une chaîne cryptée md5) dans le cookie et demander la page chaque le temps de vérifier. Si le nom d'utilisateur et le mot de passe sont stockés dans la base de données, une requête de base de données doit être exécutée à chaque fois, ce qui entraîne une charge inutile sur la base de données. Parce que nous ne pouvons pas faire une seule vérification. Pourquoi ? Parce que les informations contenues dans le cookie client peuvent être modifiées. Si vous stockez la variable $admin pour indiquer si l'utilisateur est connecté, lorsque $admin est vrai, cela signifie connecté, et lorsqu'il est faux, cela signifie qu'il n'est pas connecté. Après avoir réussi la vérification pour la première fois, stockez $ admin est égal à true dans le cookie, et il ne sera pas nécessaire de vérifier la prochaine fois. D'accord, est-ce faux ? Si quelqu'un falsifie une variable $admin avec une valeur true, cela ne signifie-t-il pas qu'il le fera immédiatement ? obtenir des droits administratifs ? C'est très dangereux.
La session est différente. La session est stockée côté serveur. Les utilisateurs distants ne peuvent pas modifier le contenu du fichier de session, nous pouvons donc simplement stocker une variable $admin pour déterminer s'il faut se connecter. passé, définissez la valeur $admin sur true , puis déterminez si la valeur est vraie. Sinon, accédez à l'interface de connexion, ce qui peut réduire de nombreuses opérations de base de données. Et cela peut réduire l'insécurité liée à la transmission du mot de passe à chaque fois pour vérifier le cookie (la vérification de session ne doit être passée qu'une seule fois, si vous n'utilisez pas le protocole de sécurité SSL). Même si le mot de passe est crypté md5, il peut être facilement intercepté.
Bien sûr, l'utilisation de la session présente de nombreux avantages, tels qu'un contrôle facile et un stockage défini par l'utilisateur (stocké dans la base de données). Je n’en dirai pas beaucoup plus ici.
La session doit-elle être définie dans php.ini ? Généralement non requis, car tout le monde n'a pas la permission de modifier PHP.ini. Le chemin de stockage par défaut de la session est le dossier temporaire système du serveur. le stockage Dans son propre dossier, que je présenterai plus tard.
Commençons par comment créer une session. Très simple, vraiment.
Démarrez la session et créez une variable $admin :

　　// 启动 session 
　　session_start(); 
　　// 声明一个名为 admin 的变量，并赋空值。 
　　$_session["admin"] = null;　　 
?>

Copier après la connexion

Si vous utilisez Seesion, ou que le fichier PHP veut appeler la variable Session, vous devez la démarrer avant d'appeler la Session, utilisez session_start ( ) fonction. Vous n’avez rien d’autre à définir, PHP crée automatiquement le fichier de session.
Après avoir exécuté ce programme, nous pouvons accéder au dossier temporaire du système pour trouver le fichier de session. Généralement, le nom du fichier est sous la forme : sess_4c83638b3b0dbf65583181c2f89168ec, suivi d'une chaîne aléatoire codée en 32 bits. Ouvrez-le avec un éditeur et jetez un œil à son contenu :
admin|N
Généralement, le contenu est structuré comme ceci :
Nom de la variable | Type : longueur : valeur ; chaque variable. Certains peuvent être omis, comme la longueur et le type.
Jetons un coup d'œil au programme de vérification. Supposons que la base de données stocke le nom d'utilisateur et le mot de passe crypté md5 :

　　// 表单提交后… 
　　$posts = $_POST; 
　　// 清除一些空白符号 
　　foreach ($posts as $key => $value) 
　　{ 
　　$posts[$key] = trim($value); 
　　} 
　　$password = md5($posts["password"]); 
　　$username = $posts["username"]; 
　　$query = “Select `username` FROM `user` Where `password` = ‘$password&#39;”; 
　　// 取得查询结果 
　　$userInfo = $DB->getRow($query); 
　　if (!empty($userInfo)) 
　　{ 
　　if ($userInfo["username"] == $username) 
　　{ 
　　// 当验证通过后，启动 session 
　　session_start(); 
　　// 注册登陆成功的 admin 变量，并赋值 true 
　　$_session["admin"] = true; 
　　} 
　　else 
　　{ 
　　die(“用户名密码错误”); 
　　} 
　　} 
　　else 
　　{ 
　　die(“用户名密码错误”); 
　　} 
　　我们在需要用户验证的页面启动 session，判断是否登陆： 
　　// 防止全局变量造成安全隐患 
　　$admin = false; 
　　// 启动会话，这步必不可少 
　　session_start(); 
　　// 判断是否登陆 
　　if (isset($_SESSION["admin"]) && $_session["admin"] === true) 
　　{ 
　　echo “您已经成功登陆”; 
　　} 
　　else 
　　{ 
　　// 验证失败，将 $_session["admin"] 置为 false 
　　$_session["admin"] = false; 
　　die(“您无权访问”); 
　　} 
　　?>

Copier après la connexion

N'est-ce pas très simple ? Pensez à $_session comme à un tableau stocké sur le côté serveur, cependant, chaque variable que nous enregistrons est une clé du tableau, ce qui n'est pas différent de l'utilisation d'un tableau.

Que dois-je faire si je souhaite me déconnecter du système ? Il suffit de détruire la session.

　　session_start(); 
　　// 这种方法是将原来注册的某个变量销毁 
　　unset($_session["admin"]); 
　　// 这种方法是销毁整个 session 文件 
　　session_destroy(); 
?>

Copier après la connexion

Session peut-elle définir le cycle de vie comme Cookie ? Avec Session, Cookie sera-t-il complètement abandonné, je dirais qu'il est plus pratique d'utiliser Session en combinaison avec Cookie ?

Comment la session détermine-t-elle l'utilisateur client ? Il est déterminé par l'ID de session. Quel est l'ID de session ? L'ID de session est généré de manière aléatoire, il peut donc garantir l'unicité et le caractère aléatoire. pour assurer la sécurité de la Session. Généralement, si le cycle de vie de la session n'est pas défini, l'ID de session est stocké dans la mémoire. Après la fermeture du navigateur, l'ID est automatiquement déconnecté. Après une nouvelle demande de page, un nouvel ID de session est enregistré.
Si le client ne désactive pas les cookies, le cookie joue le rôle de stockage de l'ID de session et de la durée de vie de la session lors du démarrage de la session.
Définissons manuellement la durée de vie de la session :

　　session_start(); 
　　// 保存一天 
　　$lifeTime = 24 * 3600; 
　　setcookie(session_name(), session_id(), time() + $lifeTime, “/”); 
　　?>

Copier après la connexion

En fait, Session fournit également une fonction session_set_cookie_params(); pour définir la durée de vie de la session. Cette fonction doit être appelée avant l'appel de la fonction session_start(). :

　　// 保存一天 
　　$lifeTime = 24 * 3600; 
　　session_set_cookie_params($lifeTime); 
　　session_start(); 
　　$_session["admin"] = true; 
　　?>

Copier après la connexion

　　如果客户端使用 IE 6.0 ， session_set_cookie_params(); 函数设置 Cookie 会有些问题，所以我们还是手动调用 setcookie 函数来创建 cookie。
　　假设客户端禁用 Cookie 怎么办?没办法，所有生存周期都是浏览器进程了，只要关闭浏览器，再次请求页面又得重新注册 Session。那么怎么传递 Session ID 呢?通过 URL 或者通过隐藏表单来传递，PHP 会自动将 session ID 发送到 URL 上，URL 形如：http://www.openphp.cn /index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669，其中 URL 中的参数 PHPSESSID 就是 Session ID了，我们可以使用 $_GET 来获取该值，从而实现 session ID 页面间传递。

　　// 保存一天 
　　$lifeTime = 24 * 3600; 
　　// 取得当前 session 名，默认为 PHPSESSID 
　　$sessionName = session_name(); 
　　// 取得 session ID 
　　$sessionID = $_GET[$sessionName]; 
　　// 使用 session_id() 设置获得的 session ID 
　　session_id($sessionID); 
　　session_set_cookie_params($lifeTime); 
　　session_start(); 
　　$_session["admin"] = true; 
　　?>

Copier après la connexion

　　对于虚拟主机来说，如果所有用户的 Session 都保存在系统临时文件夹里，将给维护造成困难，而且降低了安全性，我们可以手动设置 Session 文件的保存路径，session_save_path()就提供了这样一个功能。我们可以将 session 存放目录指向一个不能通过 Web 方式访问的文件夹，当然，该文件夹必须具备可读写属性。

　　// 设置一个存放目录 
　　$savePath = “./session_save_dir/”; 
　　// 保存一天 
　　$lifeTime = 24 * 3600; 
　　session_save_path($savePath); 
　　session_set_cookie_params($lifeTime); 
　　session_start(); 
　　$_session["admin"] = true; 
　　?>

Copier après la connexion

　　同 session_set_cookie_params(); 函数一样，session_save_path() 函数也必须在 session_start() 函数调用之前调用。
　　我们还可以将数组，对象存储在 session 中。操作数组和操作一般变量没有什么区别，而保存对象的话，PHP 会自动对对象进行序列化(也叫串行化)，然后保存于 session 中。下面例子说明了这一点：

　　class person 
　　{ 
　　var $age; 
　　function output() { 
　　echo $this->age; 
　　} 
　　function setAge($age) { 
　　$this->age = $age; 
　　} 
　　} 
　　?>

Copier après la connexion

　　setage.PHP

　　session_start(); 
　　require_once “person.PHP”; 
　　$person = new person(); 
　　$person->setAge(21); 
　　$_session[&#39;person&#39;] = $person; 
　　echo “check here to output age”; 
　　?>

Copier après la connexion

　　output.PHP

　　// 设置回调函数，确保重新构建对象。 
　　ini_set(‘unserialize_callback_func&#39;, ‘mycallback&#39;); 
　　function mycallback($classname) { 
　　$classname . “.PHP”; 
　　} 
　　session_start(); 
　　$person = $_session["person"]; 
　　// 输出 21 
　　$person->output(); 
　　?>

Copier après la connexion

　　当我们执行 setage.php 文件的时候，调用了 setage() 方法，设置了年龄为 21，并将该状态序列化后保存在 session 中(PHP 将自动完成这一转换)，当转到 output.php 后，要输出这个值，就必须反序列化刚才保存的对象，又因为在解序列化的时候需要实例化一个未定义类，所以我们定义了以后回调函数，自动包含 person.PHP 这个类文件，因此对象被重构，并取得当前 age 的值为 21，然后调用 output() 方法输出该值。

更多PHP中session使用方法详解第1/2页相关文章请关注PHP中文网！