欢迎来到天天文库
浏览记录
ID:39918990
大小:100.50 KB
页数:7页
时间:2019-07-15
《php使用session的详细介绍》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、php使用session的详细介绍对比起Cookie,Session是存储在服务器端的会话,相对安全,并且不像Cookie那样有存储长度限制,本文简单介绍Session的使用。由于Session是以文本文件形式存储在服务器端的,所以不怕客户端修改Session内容。实际上在服务器端的Session文件,PHP自动修改Session文件的权限,只保留了系统读和写权限,而且不能通过ftp修改,所以安全得多。对于Cookie来说,假设我们要验证用户是否登陆,就必须在Cookie中保存用户名和密码(可能是md5加密后字符串),并在每次请求页面的时候进行验证。如果用户名和
2、密码存储在数据库,每次都要执行一次数据库查询,给数据库造成多余的负担。因为我们并不能只做一次验证。为什么呢?因为客户端Cookie中的信息是有可能被修改的。假如你存储$admin变量来表示用户是否登陆,$admin为true的时候表示登陆,为false的时候表示未登录,在第一次通过验证后将$admin等于true存储在Cookie,下次就不用验证了,这样对么?错了,假如有人伪造一个值为true的$admin变量那不是就立即取的了管理权限么?非常的不安全。而Session就不同了,Session是存储在服务器端的,远程用户没办法修改Session文件的内容,因此我
3、们可以单纯存储一个$admin变量来判断是否登陆,首次验证通过后设置$admin值为true,以后判断该值是否为true,假如不是,转入登陆界面,这样就可以减少很多数据库操作了。而且可以减少每次为了验证Cookie而传递密码的不安全性了(Session验证只需要传递一次,假如你没有使用SSL安全协议的话)。即使密码进行了md5加密,也是很容易被截获的。当然使用Session还有很多优点,比如控制容易,可以按照用户自定义存储等(存储于数据库)。我这里就不多说了。Session在php.ini是否需要设置呢?一般不需要的,因为并不是每个人都有修改php.ini的权限
4、,默认Session的存放路径是服务器的系统临时文件夹,我们可以自定义存放在自己的文件夹里,这个稍后我会介绍。开始介绍如何创建Session。非常简单,真的。启动Session会话,并创建一个$admin变量:// 启动Session session_start(); // 声明一个名为admin的变量,并赋空值。 $_SESSION["admin"]=null; 如果你使用了Seesion,或者该PHP文件要调用Session变量,那么就必须在调用Session之前启动它,使用session_start()函数。其它都不需要你设置了,PHP自
5、动完成Session文件的创建。执行完这个程序后,我们可以到系统临时文件夹找到这个Session文件,一般文件名形如:sess_4c83638b3b0dbf65583181c2f89168ec,后面是32位编码后的随机字符串。用编辑器打开它,看一下它的内容:admin
6、N;一般该内容是这样的结构:变量名
7、类型:长度:值;并用分号隔开每个变量。有些是可以省略的,比如长度和类型。我们来看一下验证程序,假设数据库存储的是用户名和md5加密后的密码:login.php// 表单提交后... $posts=$_POST; // 清除一些空白符号 fore
8、ach($postsas$key=>$value){ $posts[$key]=trim($value); } $password=md5($posts["password"]); $username=$posts["username"]; $query="SELECT`username`FROM`user`WHERE`password`='$password'"; // 取得查询结果 $userInfo=$DB->getRow($query); if(!emptyempty($userInfo)){
9、 if($userInfo["username"]==$username){ // 当验证通过后,启动Session session_start(); // 注册登陆成功的admin变量,并赋值true $_SESSION["admin"]=true; }else{ die("用户名密码错误"); } }else{ die("用户名密码错误"); } 我们在需要用户验证的页面启动Session,判断是否登陆
10、:// 防止全局变量造成
此文档下载收益归作者所有