PHPにおけるセッション利用の詳しい説明 1/2ページ

セッションはテキスト ファイルの形式でサーバー側に保存されるため、クライアントがセッションの内容を変更する心配はありません。実際、サーバー側のセッション ファイルでは、PHP がセッション ファイルのアクセス許可を自動的に変更し、システムの読み取りおよび書き込みアクセス許可のみを保持し、ftp 経由では変更できないため、より安全です。 PHPChina オープンソース コミュニティ ポータル

Cookie の場合、ユーザーがログインしているかどうかを確認したい場合は、ユーザー名とパスワード (おそらく md5 暗号化文字列) を Cookie に保存し、毎回ページをリクエストする必要があります。検証する時間です。ユーザー名とパスワードがデータベースに保存されている場合、毎回データベース クエリを実行する必要があり、データベースに不要な負担がかかります。一つだけの検証はできないからです。理由は、クライアント Cookie の情報が変更される可能性があるためです。ユーザーがログインしているかどうかを示す $admin 変数を格納する場合、$admin が true の場合はログインしていることを意味し、false の場合はログインしていないことを意味します。初めて検証に合格した後、$ を格納します。 admin が Cookie 内で true に等しいので、次回は検証する必要はありません。これは間違っていますか?管理者権限を取得するのは非常に危険です。
セッションはサーバー側に保存されます。リモート ユーザーはセッション ファイルの内容を変更できません。そのため、ログインするかどうかを決定するために $admin 変数を保存するだけです。渡された場合は、 $admin 値を true に設定し、値が true であるかどうかを後で判断します。これにより、多くのデータベース操作が軽減されます。また、Cookie を検証するために毎回パスワードを渡すという危険性も軽減できます (SSL セキュリティ プロトコルを使用しない場合、セッション検証は 1 回だけ行う必要があります)。パスワードが md5 で暗号化されている場合でも、簡単に傍受できます。
もちろん、セッションを使用することには、簡単な制御やユーザー定義のストレージ (データベースに保存される) など、多くの利点があります。ここではこれ以上多くは言いません。
セッションは php.ini に設定する必要がありますか? 誰もが PHP.ini を変更する権限を持っているわけではないため、通常は必要ありません。セッションのデフォルトのストレージ パスはサーバーのシステム一時フォルダーです。ストレージは独自のフォルダー内にあります。これについては後で紹介します。
セッションの作成方法の紹介を開始します。本当に、とてもシンプルです。
セッションを開始し、$admin 変数を作成します。

コードをコピーします コードは次のとおりです:

/ / セッションの開始
session_start();
// admin という名前の変数を宣言し、null 値を代入します。
$_session["admin"] = null;
?>

Seesion を使用する場合、または PHP ファイルが Session 変数を呼び出す必要がある場合は、セッションを呼び出す前にセッションを開始するには、session_start() 関数を使用します。他に何も設定する必要はありません。PHP が自動的にセッション ファイルを作成します。
このプログラムを実行すると、システムの一時フォルダーでセッション ファイルが見つかります。通常、ファイル名は sess_4c83638b3b0dbf65583181c2f89168ec の後に 32 ビットでエンコードされたランダムな文字列が続く形式になります。エディタで開き、その内容を確認します。
admin|N;
通常、内容は次のように構成されています。
変数名 | 型: 長さ: 値;
セミコロンで区切られます。それぞれの変数。長さや種類など一部は省略できます。
データベースにユーザー名と md5 で暗号化されたパスワードが保存されていると仮定して、検証プログラムを見てみましょう。

コードをコピーします コードは次のとおりです。以下:

// フォームが送信された後...
$posts = $_POST;
// いくつかの空白記号をクリア
foreach ($posts as $key => $value)
{
$posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts[ "username"] ;
$query = "Select `username` FROM `user` Where `password` = '$password'";
// クエリ結果を取得します
$userInfo = $DB->; getRow($query );
if (!empty($userInfo))
session
session_start();
//成功したログインのための admin 変数を登録し、値 true
を割り当てます_session["admin"] = true;
}
else
{
die("ユーザー名とパスワードが間違っています"); ログインするかどうかを決定するために、ユーザー確認ページでセッションを開始します。
// グローバル変数がセキュリティ リスクを引き起こすのを防ぎます
$admin = false;
// セッションを開始します。このステップは必須です
session_start()
// ログインするかどうかを決定します
if (isset($_SESSION["admin"]) && $_session["admin"] === true)
{
echo "ログインに成功しました" ;
> else
{
// 検証に失敗しました。$_session["admin"] を false に設定します
$_session["admin"] = false( "アクセスする権限がありません。 ");
}
?>


とても簡単ですね。 $_session をサーバー側に保存される配列と考えてください。 登録しました それぞれの変数がキーです配列への変換は、配列を使用するのと何ら変わりません。
システムからログアウトしたい場合はどうすればよいですか?



コードをコピー

コードは次のとおりです。


session_start()

// このメソッドは、最初に登録された特定の Destroy 変数
unset($_session["admin"]);
// このメソッドはセッション ファイル全体を破棄します
session_destroy()>?> 🎜>

Session は Cookie のようにライフサイクルを設定できますか? Session では、Cookie は完全に廃止されますか? セッションと Cookie を組み合わせて使用​​するのが最も便利だと思います。 セッションはどのようにしてクライアント ユーザーを決定しますか? セッション ID とはセッション ファイルのファイル名であり、一意性とランダム性を保証します。セッションのセキュリティを確保するため。通常、セッションのライフサイクルが設定されていない場合、セッション ID はブラウザを閉じた後、自動的にログアウトされ、新しいセッション ID が登録されます。 クライアントが Cookie を無効にしない場合、Cookie はセッション開始時にセッション ID とセッション有効期間を保存する役割を果たします。 セッションの有効期間を手動で設定しましょう:

コードをコピーします

コードは次のとおりです。


session_start(); 🎜 > // 1 日分保存します
$lifeTime = 24 * 3600

setcookie(session_name(), session_id(), time() $lifeTime,
?> >

実際、Session には Session_set_cookie_params(); 関数も用意されており、この関数は session_start() 関数が呼び出される前に呼び出される必要があります。 🎜>コードをコピー

コードは次のとおりです。

// 1 日保存します $lifeTime = 24 * 3600 session_set_cookie_params($lifeTime);

session_start();

$_session["admin"] = true;
?>


クライアントが IE 6.0 を使用している場合、session_set_cookie_params に問題が発生します。 (); 関数は Cookie を設定するため、引き続き setcookie 関数を手動で呼び出して Cookie を作成します。
クライアントが Cookie を無効にしたらどうなるでしょうか? ブラウザを閉じてページを再度リクエストする限り、ライフサイクル全体がセッションを再登録する必要があります。では、セッション ID を渡すにはどうすればよいでしょうか? URL または非表示フォームを介して渡すと、URL は http://www.openphp.cn /index.php の形式で自動的に送信されます。 ?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669。URL のパラメータ PHPSESSID はセッション ID であり、$_GET を使用して値を取得することで、ページ間でセッション ID を転送できます。

コードをコピー

コードは次のとおりです:

// 1 日保存します
$lifeTime = 24 * 3600;
// 現在のセッション名を取得します。デフォルトは PHPSESSID です
$sessionName = session_name(); // セッション ID を取得します
$sessionID = $_GET[$sessionName];
// 取得したセッション ID を session_id() で設定します
session_id($sessionID)
session_set_cookie_params($lifeTime) );
session_start ();
$_session["admin"] = true;


の場合、すべてのユーザーのセッションがシステムの一時フォルダーを使用すると、メンテナンスが困難になり、セキュリティが低下します。 session_save_path() は、そのような機能を提供します。もちろん、Web 経由でアクセスできないフォルダーをセッション保存ディレクトリに指定することもできます。そのフォルダーには読み取り/書き込み属性が必要です。

コードをコピー コードは次のとおりです:

// 保存ディレクトリを設定します

$savePath = “./ session_save_dir/” ;
// 1 日分の保存
$lifeTime = 24 * 3600;
session_set_cookie_params($lifeTime); > $_session[" admin"] = true;
?>


session_set_cookie_params() 関数と同様に、 session_save_path() 関数も session_start() 関数を呼び出す前に呼び出す必要があります。と呼ばれた。
配列やオブジェクトをセッションに保存することもできます。配列の操作と一般変数の操作に違いはありません。オブジェクトを保存する場合、PHP はオブジェクトを自動的にシリアル化し (シリアル化とも呼ばれます)、セッションに保存します。次の例はこれを示しています:

コードをコピー

コードは次のとおりです:

class person { var $ age;

function Output() {

echo $this->age;
}
function setAge($age) {
$this->age = $age;
> }
}
?>


setage.PHP

コードをコピー

コードは

session_start(); require_once "person.PHP" $person = new person();

$person->setAge(21);

$_session[ 'person'] = $person;
echo "年齢を出力するにはここをチェックします";


Output.PHP



コードをコピーします

コードは次のとおりです:

// オブジェクトが確実に再構築されるようにコールバック関数を設定します。 ini_set('unserialize_callback_func', 'mycallback'); function mycallback($classname) { $classname .

}

session_start(); person = $_session["person"]; // 出力 21
$person->

setup.php を実行するとファイルにアクセスすると、setage() メソッドが呼び出され、年齢が 21 に設定され、ステータスがシリアル化されてセッションに保存されます (output.php に移動すると、この値は出力されるはずです)。保存したばかりのオブジェクトは逆シリアル化する必要があり、逆シリアル化中に未定義のクラスをインスタンス化する必要があるため、person.PHP クラス ファイルを自動的にインクルードする後続のコールバック関数を定義して、オブジェクトが再構築され、現在の年齢値が 21 として取得されます。次に、output() メソッドを呼び出して値を出力します。