程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> CodeIgniter配置之SESSION用法實例分析,session用法實例

CodeIgniter配置之SESSION用法實例分析,session用法實例

編輯:關於PHP編程

CodeIgniter配置之SESSION用法實例分析,session用法實例


本文實例講述了CodeIgniter配置之SESSION用法。分享給大家供大家參考,具體如下:

剛使用Codeigniter時也被其中的SESSION迷惑過,後來就再也沒用過CI自帶的SESSION,想必還是有必要整理一下SESSION。為弄清CI中的SESSION,先來說一下PHP中SESSION是如何工作的。由於HTTP協議本身是無狀態的,所以當保留某個用戶的訪問狀態信息時,需要客戶端有一個唯一標識傳給服務端,這個唯一標識就是SESSION ID,存放在客戶端的COOKIE中,然後服務端根據該標識讀取存放的用戶狀態信息,達到保存會話狀態的目的。PHP中啟動一個會話需要執行下面語句:
復制代碼 代碼如下:session_start();

1、客戶端每次請求時會有一些信息存放中HTTP頭中發送給服務端,以用戶第一次訪問為例:
復制代碼 代碼如下:Request Headers
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip,deflate,sdch
Accept-Language:zh-CN,zh;q=0.8
Cache-Control:max-age=0
Connection:keep-alive
Host:s.local
User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36

2、服務端接到請求處理後並返回給客戶端,並在HTTP Response中加上添加COOKIE的請求,告訴浏覽器需要設置一個COOKIE,COOKIE名為PHPSESSID,值為r887k5n4scg32d4ba34huuhmq7,如:
復制代碼 代碼如下:Response Headers
Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection:Keep-Alive
Content-Length:0
Content-Type:text/html
Date:Sun, 08 Dec 2013 12:56:56 GMT
Expires:Thu, 19 Nov 1981 08:52:00 GMT
Keep-Alive:timeout=5, max=100
Pragma:no-cache
Server:Apache/2.2.11 (Win32) PHP/5.4.7
Set-Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7; path=/
X-Powered-By:PHP/5.4.7

3、當客戶端再次訪問該網站的頁面時,浏覽器會將該COOKIE發送給服務端,服務端根據COOKIE的值去讀取服務器上存放SESSION的文件,拿到到會話信息,如:
復制代碼 代碼如下:Request Headers
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip,deflate,sdch
Accept-Language:zh-CN,zh;q=0.8
Cache-Control:max-age=0
Connection:keep-alive
Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7
Host:s.local
User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63

從而達到保存會話狀態的目的。但也需要注意,如果獲取到用戶A登錄的SESSION ID會怎麼樣?根據上面的邏輯,如果在請求過程中把獲取到的SESSION ID一並發送給服務端,服務端根據SESSION ID讀取文件,發現文件內容存在,從而判定用戶為A用戶,也就是獲取到了A用戶的用戶狀態,從而可能可以進行一些敏感操作。所以在會話有效期內,獲取到了SESSION ID即獲取到了用戶的授權,這是比較危險的,以本地的一個管理系統為例,通過chrome登錄後查看到客戶端COOKIE如下圖:

假如如果通過某種手段獲取到了SESSION ID, 可以模擬發送一個相同的COOKIE過去即可實現登錄。FireFox中可添加COOKIE,打開Firebug後Cookies中新建cookie,確定之後刷新頁面即可登錄到管理系統,如下圖:

通常情況下可通過js獲取到cookie,所以需要注意轉義,防止數據展示時被執行了。接下來看看CI中的SESSION。在配置文件中有幾個跟Session配置相關的參數,影響到Session的使用,它們是:

//session保存在cookie中的名稱
$config['sess_cookie_name'] = 'ci_session';
//session的有效時間
$config['sess_expiration'] = 7200;
//是否關閉浏覽器session失效
$config['sess_expire_on_close'] = FALSE;
//SESSION是否加密存放在COOKIE中
$config['sess_encrypt_cookie'] = FALSE;
//是否保存在數據庫中
$config['sess_use_database']  = FALSE;
//存在數據庫中,則數據庫表名
$config['sess_table_name'] = 'ci_sessions';
//是否匹配IP
$config['sess_match_ip']  = FALSE;
//是否匹配UserAgent
$config['sess_match_useragent'] = TRUE;
//更新時間時間
$config['sess_time_to_update'] = 300;

CI自帶的SESSION沒有服務端文件存儲,所有的信息都存放在客戶端COOKIE中,當調用$this->load->library('session');時會啟動一個會話,即設置一個COOKIE,COOKIE的內容如下:

Array
(
[session_id] => f05138a9513e4928cb0a57672cfe3b53
[ip_address] => 127.0.0.1
[user_agent] => Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
[last_activity] => 1386569398
[user_data] =>
)

當客戶端請求時會將這些信息在HTTP頭中傳輸給服務端,服務端從HTTP頭中讀取到SESSION信息。同樣的可以實現會話,但該方式有很多的不確定因素,根據源碼說幾點吧:

1、如果日志文件中出現:The session cookie data did not match what was expected. This could be a possible hacking attempt.說明兩個問題:a.sess_encrypt_cookie為false,SESSION在COOKIE中未加密存放 b.讀取到COOKIE後,校驗失敗。涉及到加解密、參數處理的情況,容易出現匹配不通過的情況,若不通過則清空SESSION。

2、如果sess_match_ip為true,當客戶端IP變化時,SESSION將校驗不通過,從而清空SESSION。

3、sess_match_useragent默認為true,當客戶端UserAgent變化時,校驗不通過,清空SESION。簡單的例子,通過IE浏覽器訪問,若切換到不同的IE模式,Agent不同,所以校驗不通過,清空SESSION。

可以看到,當出現上面任何一種情況時,SESSION都會清空,出現登錄不成功或者跳轉到登錄頁面的情況。如果說不加密、不校驗IP、UserAgent呢?因為COOKIE是存放在客戶端,需要伴隨HTTP請求發給服務端,一來過多的COOKIE會影響速度,對一些圖片等資源來說完全時浪費帶寬;二來COOKIE只能存儲4K的數據,加密處理後能存放的更小。

種種的不確定因素將產生各種奇怪的問題,避免過多的糾結,果斷改用其他方式吧。

更多關於CodeIgniter框架相關內容感興趣的讀者可查看本站專題:《codeigniter入門教程》

希望本文所述對大家基於CodeIgniter框架的PHP程序設計有所幫助。

您可能感興趣的文章:

  • CodeIgniter配置之database.php用法實例分析
  • CodeIgniter配置之routes.php用法實例分析
  • CodeIgniter配置之config.php用法實例分析
  • CI(Codeigniter)的Setting增強配置類實例
  • CodeIgniter中使用Smarty3基本配置
  • Nginx下配置codeigniter框架方法
  • CI(CodeIgniter)框架配置
  • CodeIgniter基本配置詳細介紹
  • 解析CodeIgniter自定義配置文件
  • CodeIgniter配置之autoload.php自動加載用法分析

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved