程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> php中session機制探究

php中session機制探究

編輯:關於PHP編程

 

 

1、php中session的生成機制

 

我們先來分析一下PHP中是怎麼生成一個session的。設計出session的目的是保持每一個用戶的各種狀態來彌補HTTP協議的不足(無狀態)。我們現在有一個疑問,我們都知道session是保存在服務器的,既然它用於保持每一個用戶的狀態那它利用什麼來區別用戶的呢?這個時候就得借助cookie了。當我們在代碼中調用session_start();時,PHP會同時往SESSION的存放目錄(默認為/tmp/)和客戶端的cookie目錄各生成一個文件。session文件名稱像這樣:

 

 

\

 

格式為sess_{SESSIONID} ,這時session文件中沒有任何內容,當我們在session_start();添加了這兩行代碼:

 

       $_SESSION['name'] = 'wanchun0222';

 

$_SESSION['blog'] = 'coderbolg.com';

這時文件就有內容了:

 

       name|s:11:"wanchun0222";blog|s:13:"coderbolg.com";

這時再看看cookie:

 

\

 

 

可以看到服務器為我們自動生成了一個cookie,cookie名稱為"PHPSESSID",cookie內容是一串字符,其實這串字符就是{SESSIONID}。也許你已經明白了,當我們使用session時,PHP就先生成一個唯一的SESSIONID號(如2bd170b3f86523f1b1b60b55ffde0f66),再在我們服務器的默認目錄下生成一個文件,文件名為sess_{SESSIONID},同時在當前用戶的客戶端生成一個cookie,內容已經說過了。這樣PHP會為每一個用戶生成一個SESSIONID,也就是說一個用戶一個session文件。PHP第一次為某個用戶使用session時就向客戶端寫入了cookie,當這個用戶以後訪問時,浏覽器會帶上這個cookie,PHP在拿到cookie後就讀出裡面的SESSIONID,拿著這個SESSIONID去session目錄下找session文件。找到後在調用$_SESSION['blog']的時候顯示出來。

 

 

2、php中session的過期回收機制

 

我們明白了session的生成及工作原理,發現在session目錄下會有許多session文件。當然這些文件一定不是永遠存在的,PHP一定提供了一種過期回收機制。在php.ini中session.gc_maxlifetime為session設置了生存時間(默認為1440s)。如果session文件的最後更新時間到現在超過了生存時間,這個session文件就被認為是過期的了。在下一次session回收的

 

時候就會被刪除。那下一次session回收是在什麼時候呢?這和php請求次數有關的。在PHP內部機制中,當php被請求了N次後就會有一次觸發回收機制。到底是請求多少次觸發一次是通過以下兩個參數控制的:

 

       session.gc_probability = 1

 

session.gc_divisor = 100

這是php.ini的默認設置,意思是每100次PHP請求就有一次回收發生。概率是gc_probability/gc_divisor 。我們了解了服務器端的session過期機制,再來看看客戶端的cookie的過期機制。

 

如果cookie失效了浏覽器自然發送不了cookie到服務器,這時即使服務器的session文件存在也沒用,因為PHP不知道要讀取哪個session文件。我們知道PHP的cookie過期時間是在創建時設置的,那麼PHP在創建session的同時為客戶端創建的cookie的生命周期是多久呢?這個在php.ini中有設置:session.cookie_lifetime 。這個值默認是0,代表浏覽器一關閉SESSIONID就失效。那就是說我們把session.gc_maxlifetime和session.cookie_lifetime設置成同一個值就可以控制session的失效時間了。

 

3、php中session的客戶端存儲機制

 

由上面的介紹我們可以知道,如果用戶關閉了cookie,那我們的session就完全沒法工作了。是的,確實是這樣。php中session的客戶端存儲機制只有cookie嗎?不是的。既然我們的SESSIONID 不能通過cookie傳遞到各個頁面,那我們還有另一個法寶,就是通過頁面GET傳值的方式。

 

PHP可以在cookie被禁用時自動通過GET方式跨頁傳遞SESSIONID,前提是設置php.ini的session.use_trans_sid為1。這時當我們在客戶端禁用了cookie時使用了session,並在當前頁面通過點擊鏈接到另一頁面時,PHP會自動在鏈接上添加SESSIONID參數,像這樣:nextpage.php?SESSIONID=2bd170b3f86523f1b1b60b55ffde0f66。我想你應該看到了這種方式的缺點:好像不夠安全啊。

 

:轉載自:藍色夏威夷

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved