本文實例講述了CodeIgniter配置之SESSION用法。分享給大家供大家參考,具體如下:
剛使用Codeigniter時也被其中的SESSION迷惑過,後來就再也沒用過CI自帶的SESSION,想必還是有必要整理一下SESSION。為弄清CI中的SESSION,先來說一下PHP中SESSION是如何工作的。由於HTTP協議本身是無狀態的,所以當保留某個用戶的訪問狀態信息時,需要客戶端有一個唯一標識傳給服務端,這個唯一標識就是SESSION ID,存放在客戶端的COOKIE中,然後服務端根據該標識讀取存放的用戶狀態信息,達到保存會話狀態的目的。PHP中啟動一個會話需要執行下面語句:
復制代碼 代碼如下:session_start();
1、客戶端每次請求時會有一些信息存放中HTTP頭中發送給服務端,以用戶第一次訪問為例:
復制代碼 代碼如下:Request Headers
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip,deflate,sdch
Accept-Language:zh-CN,zh;q=0.8
Cache-Control:max-age=0
Connection:keep-alive
Host:s.local
User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
2、服務端接到請求處理後並返回給客戶端,並在HTTP Response中加上添加COOKIE的請求,告訴浏覽器需要設置一個COOKIE,COOKIE名為PHPSESSID,值為r887k5n4scg32d4ba34huuhmq7,如:
復制代碼 代碼如下:Response Headers
Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection:Keep-Alive
Content-Length:0
Content-Type:text/html
Date:Sun, 08 Dec 2013 12:56:56 GMT
Expires:Thu, 19 Nov 1981 08:52:00 GMT
Keep-Alive:timeout=5, max=100
Pragma:no-cache
Server:Apache/2.2.11 (Win32) PHP/5.4.7
Set-Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7; path=/
X-Powered-By:PHP/5.4.7
3、當客戶端再次訪問該網站的頁面時,浏覽器會將該COOKIE發送給服務端,服務端根據COOKIE的值去讀取服務器上存放SESSION的文件,拿到到會話信息,如:
復制代碼 代碼如下:Request Headers
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip,deflate,sdch
Accept-Language:zh-CN,zh;q=0.8
Cache-Control:max-age=0
Connection:keep-alive
Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7
Host:s.local
User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63
從而達到保存會話狀態的目的。但也需要注意,如果獲取到用戶A登錄的SESSION ID會怎麼樣?根據上面的邏輯,如果在請求過程中把獲取到的SESSION ID一並發送給服務端,服務端根據SESSION ID讀取文件,發現文件內容存在,從而判定用戶為A用戶,也就是獲取到了A用戶的用戶狀態,從而可能可以進行一些敏感操作。所以在會話有效期內,獲取到了SESSION ID即獲取到了用戶的授權,這是比較危險的,以本地的一個管理系統為例,通過chrome登錄後查看到客戶端COOKIE如下圖:
假如如果通過某種手段獲取到了SESSION ID, 可以模擬發送一個相同的COOKIE過去即可實現登錄。FireFox中可添加COOKIE,打開Firebug後Cookies中新建cookie,確定之後刷新頁面即可登錄到管理系統,如下圖:
通常情況下可通過js獲取到cookie,所以需要注意轉義,防止數據展示時被執行了。接下來看看CI中的SESSION。在配置文件中有幾個跟Session配置相關的參數,影響到Session的使用,它們是:
//session保存在cookie中的名稱 $config['sess_cookie_name'] = 'ci_session'; //session的有效時間 $config['sess_expiration'] = 7200; //是否關閉浏覽器session失效 $config['sess_expire_on_close'] = FALSE; //SESSION是否加密存放在COOKIE中 $config['sess_encrypt_cookie'] = FALSE; //是否保存在數據庫中 $config['sess_use_database'] = FALSE; //存在數據庫中,則數據庫表名 $config['sess_table_name'] = 'ci_sessions'; //是否匹配IP $config['sess_match_ip'] = FALSE; //是否匹配UserAgent $config['sess_match_useragent'] = TRUE; //更新時間時間 $config['sess_time_to_update'] = 300;
CI自帶的SESSION沒有服務端文件存儲,所有的信息都存放在客戶端COOKIE中,當調用$this->load->library('session');時會啟動一個會話,即設置一個COOKIE,COOKIE的內容如下:
Array ( [session_id] => f05138a9513e4928cb0a57672cfe3b53 [ip_address] => 127.0.0.1 [user_agent] => Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 [last_activity] => 1386569398 [user_data] => )
當客戶端請求時會將這些信息在HTTP頭中傳輸給服務端,服務端從HTTP頭中讀取到SESSION信息。同樣的可以實現會話,但該方式有很多的不確定因素,根據源碼說幾點吧:
1、如果日志文件中出現:The session cookie data did not match what was expected. This could be a possible hacking attempt.說明兩個問題:a.sess_encrypt_cookie為false,SESSION在COOKIE中未加密存放 b.讀取到COOKIE後,校驗失敗。涉及到加解密、參數處理的情況,容易出現匹配不通過的情況,若不通過則清空SESSION。
2、如果sess_match_ip為true,當客戶端IP變化時,SESSION將校驗不通過,從而清空SESSION。
3、sess_match_useragent默認為true,當客戶端UserAgent變化時,校驗不通過,清空SESION。簡單的例子,通過IE浏覽器訪問,若切換到不同的IE模式,Agent不同,所以校驗不通過,清空SESSION。
可以看到,當出現上面任何一種情況時,SESSION都會清空,出現登錄不成功或者跳轉到登錄頁面的情況。如果說不加密、不校驗IP、UserAgent呢?因為COOKIE是存放在客戶端,需要伴隨HTTP請求發給服務端,一來過多的COOKIE會影響速度,對一些圖片等資源來說完全時浪費帶寬;二來COOKIE只能存儲4K的數據,加密處理後能存放的更小。
種種的不確定因素將產生各種奇怪的問題,避免過多的糾結,果斷改用其他方式吧。
更多關於CodeIgniter框架相關內容感興趣的讀者可查看本站專題:《codeigniter入門教程》
希望本文所述對大家基於CodeIgniter框架的PHP程序設計有所幫助。