Session 的工作機制:
為每個訪客建立一個唯一的id (UID),並基於這個UID 來儲存變數。 UID 儲存在 cookie 中,也或透過 URL 進行傳導。
PHPSESSIONID的生產演算法原理:
1、hash_func = md5 / sha1 #可由php.ini配置
#2、PHPSESSIONID = hash_func(客戶端IP 目前時間(秒) 當前時間(微妙) PHP自帶的隨機數產生器)
從以上hash_func(*)中的資料採樣值的內容分析,多個使用者在同一台伺服器時所生產的PHPSESSIONID重複的機率極低。
另外,駭客如果要猜出某一用戶的PHPSESSIONID,則他也必須知道「客戶端IP、當前時間(秒、微妙)、隨機數」等資料方可模擬。
php.ini配置如下:
; Select a hash function for use in generating session ids. ; Possible Values ; 0 (MD5 128 bits) ; 1 (SHA-1 160 bits) ; This option may also be set to the name of any hash function supported by ; the hash extension. A list of available hashes is returned by the hash_algos() ; function. ; http://php.net/session.hash-function session.hash_function=0
PHP Session工作原理
以下以cookie傳輸PHPSESSID描述。
1、客戶端請求一個php的服務端位址。
2、服務端收到請求,此次php腳本包含session_start()。
3、服務端會產生一個PHPSESSID。 (預設session儲存方式為session.save_handler=files,檔案形式儲存。產生的session檔案名稱規則即為sess_PHPSESSID,session檔案存在session.save_path#中。)
4、服務端響應首部Response Headers:Set-Cookie:PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50; path=/。在客戶端產生一個cookie保存此PHPSESSID。
5、此時,客戶端的cookie裡包含了PHPSESSID,之後客戶端的每次請求首部Request Headers:Cookie:PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50。服務端之後每次接收到客戶端的請求就都能根據這個PHPSESSID來找到服務端的session文件,透過對這個session文件的讀寫操作即實現了session的超全域變數屬性。
如果客戶端停用了cookie,由於無法使用cookie傳遞PHPSESSID,那麼客戶端每次請求,服務端都會重新建立一個session文件,而無法透過透過PHPSESSID 來重複使用session文件,所以session也就失效了。
這種情況可以設定session.use_trans_sid來傳輸PHPSESSID,具體實作方式與cookie的差別就是將PHPSESSID#透過HTTP的GET傳輸。每次請求的位址裡面都會補全PHPSESSID參數”url?PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50」來實現。
PHPcli模式透過session_id()使用session
#可以透過它來取得目前會話的PHPSESSID,也可以透過它來設定目前的會話PHPSESSID。
PHPcli模式下可以透過設定這個,達到使用session的目的,非常方便。
例如:
登入後複製
推薦教學:PHP影片教學
##php中文網路學習專題:php session (包含圖文、影片、案例)
以上是PHP中Session ID的實作原理分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!
