綜述PHP中的Cookie與Session機制
阿新 • • 發佈:2019-01-30
Web應用程式是使用HTTP協議傳輸資料的。HTTP協議是無狀態的協議。一旦資料交換完畢,客戶端與伺服器端的連線就會關閉,再次交換資料需要建立新的連線。這就意味著伺服器無法從連線上跟蹤會話。即使用者A購買了一件商品放入購物車內,當再次購買商品時伺服器已經無法判斷該購買行為是屬於使用者A的會話還是使用者B的會話了。要跟蹤該會話,必須引入一種機制。
Cookie就是這樣的一種機制。它可以彌補HTTP協議無狀態的不足。在Session出現之前,基本上所有的網站都採用Cookie來跟蹤會話。Cookie實際上是Web伺服器儲存在使用者硬碟上的一段文字。Cookie允許一個Web站點在使用者的電腦上儲存資訊並且隨後再取回它。資訊的片斷以‘名/值’對(name-value pairs)的形式儲存。” 客戶端請求伺服器,如果伺服器需要記錄該使用者狀態,就使用response向客戶端瀏覽器頒發一個 Cookie。客戶端瀏覽器會把Cookie儲存起來。當瀏覽器再請求該網站時,瀏覽器把請求的網址連同該Cookie一同提交給伺服器。伺服器檢查該 Cookie,以此來辨認使用者狀態。伺服器還可以根據需要修改Cookie的內容。
檢視某個網站頒發的Cookie很簡單。在瀏覽器位址列輸入javascript:alert (document. cookie)就可以了(需要有網才能檢視)。JavaScript指令碼會彈出一個對話方塊顯示本網站頒發的所有Cookie的內容。
PHP中Cookie與Session可以用於使用者身份認證,程式狀態記錄,頁面之間引數傳遞等。
會話機制(Session)在PHP中用於儲存併發訪問中的一些資料。session在一些地方可以理解為一種儲存結構。PHP4以後的版本可以方便地實現session的功能,session的最大作用是:在網站中記錄變數,儲存變數值,能讓使用者在不同頁面、網站中跳轉,例項如購物網站的購物車功能。
我們知道,使用者訪問一個網站時往往需要瀏覽許多網頁。對於一個通過PHP構築的網站來說,使用者在訪問的過程中需要執行許多的PHP指令碼。然而HTTP是一個無狀態的,非面向連線的協議,協議無法來維護兩個事物之間的關係。每個HTTP請求的處理都是獨立的。由於HTTP協議自身的特點,使用者每執行一個PHP指令碼都需要和Web伺服器重新建立連線。
又由於無狀態記憶的特點,此次連線無法得到上次連線的狀態。這樣,使用者在一個PHP指令碼中對一個變數進行了賦值操作,而在另外一個PHP指令碼中卻無法得到這個變數的值。例如,使用者在負責登入的PHP指令碼中設定了$user="wind",卻無法在另一個PHP指令碼中通過呼叫$user來獲得“wind”這個值。也就是說,在PHP中無法設定全域性變數。每個PHP指令碼中所定義的變數都是隻在這個指令碼內有效的區域性變數。
Session解決方案,就是要提供在PHP指令碼中定義全域性變數的方法,使得這個全域性變數在同一個Session中對於所有的PHP指令碼都有效。上面我們提到了,Session不是一個簡單的時間概念,一個Session中還包括了特定的使用者和伺服器。因此更詳細地講,在一個Session定義的全域性變數的作用範圍,是指這個Session所對應的使用者所訪問的所有PHP。
例如A使用者通過Session定義了一個全域性變數$user=“wind”中,而B使用者通過Session定義的全域性變數$user=“jane”。那麼在A使用者所訪問的PHP指令碼中,$user的值就是wind。
cookie 和session 的區別詳解
具體來說cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在伺服器端保持狀態的方案。
同時我們也看到,由於採用伺服器端保持狀態的方案在客戶端也需要儲存一個標識,所以session機制可能需要藉助於cookie機制
來達到儲存標識的目的,但實際上它還有其他選擇。
(1)cookie機制。正統的cookie分發是通過擴充套件HTTP協議來實現的,伺服器通過在HTTP的響應頭中加上一行特殊的指示以提示
瀏覽器按照指示生成相應的cookie。然而純粹的客戶端指令碼如JavaScript或者VBScript也可以生成cookie。而cookie的使用
是由瀏覽器按照一定的原則在後臺自動傳送給伺服器的。瀏覽器檢查所有儲存的cookie,如果某個cookie所宣告的作用範圍
大於等於將要請求的資源所在的位置,則把該cookie附在請求資源的HTTP請求頭上傳送給伺服器。
cookie的內容主要包括:名字,值,過期時間,路徑和域。路徑與域一起構成cookie的作用範圍。若不設定過期時間,則表示這
個cookie的生命期為瀏覽器會話期間,關閉瀏覽器視窗,cookie就消失。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。
會話cookie一般不儲存在硬碟上而是儲存在記憶體裡,當然這種行為並不是規範規定的。若設定了過期時間,瀏覽器就會把cookie
儲存到硬碟上,關閉後再次開啟瀏覽器,這些cookie仍然有效直到超過設定的過期時間。儲存在硬碟上的cookie可以在不同的瀏
覽器程序間共享,比如兩個IE視窗。而對於儲存在記憶體裡的cookie,不同的瀏覽器有不同的處理方式
(2)session機制。session機制是一種伺服器端的機制,伺服器使用一種類似於散列表的結構(也可能就是使用散列表)來儲存資訊。
當程式需要為某個客戶端的請求建立一個session時,伺服器首先檢查這個客戶端的請求裡是否已包含了一個session標識
(稱為session id),如果已包含則說明以前已經為此客戶端建立過session,伺服器就按照session id把這個session檢索出來
使用(檢索不到,會新建一個),如果客戶端請求不包含session id,則為此客戶端建立一個session並且生成一個與此session相
關聯的session id,session id的值應該是一個既不會重複,又不容易被找到規律以仿造的字串,這個session id將被在本次響應
中返回給客戶端儲存。儲存這個session id的方式可以採用cookie,這樣在互動過程中瀏覽器可以自動的按照規則把這個標識傳送給
伺服器。一般這個cookie的名字都是類似於SEEESIONID。但cookie可以被人為的禁止,則必須有其他機制以便在cookie被禁止時
仍然能夠把session id傳遞迴伺服器。
經常被使用的一種技術叫做URL重寫,就是把session id直接附加在URL路徑的後面。還有一種技術叫做表單隱藏欄位。就是伺服器
會自動修改表單,新增一個隱藏欄位,以便在表單提交時能夠把session id傳遞迴伺服器。比如:
<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>
cookie 和session 的區別:
1、cookie資料存放在客戶端的瀏覽器上,如:IE firefox 當客戶端禁止cookie時將不能再使用。session資料放在伺服器上,但session id是存放在客戶端的。
2、cookie不是很安全,別人可以分析存放在本地的COOKIE並進行COOKIE欺騙
考慮到安全應當使用session
3、session會在一定時間內儲存在伺服器上。當訪問增多,會比較佔用你伺服器的效能
考慮到減輕伺服器效能方面,應當使用COOKIE
4、單個cookie在客戶端的限制是4K,就是說一個站點在客戶端存放的COOKIE不能大於4K。
5、Cookie預設生存期也是一次會話期間,但可以通過引數設定其生存期。
Session預設生存期是一次會話期間,若改變期限只能通過修改伺服器PHP.ini配置。
所以建議:將登陸資訊等重要資訊存放為SESSION,其他資訊如果需要保留,可以放在COOKIE中
拓展
其中name是cookie變數名稱標識,在php變數名來引用cookie變數。
value是cookie變數的初始值,
expire 表示該cookie變數的有效時間(毫秒);
path 為該cookie變數的相關路徑;
domain 表示cookie變數的網站;
secure 則需在 https 的安全傳輸時才有效。
初始化session(需在檔案頭部):session_start();
配置Seeeion: $_SESSION[name]=value;
使用session :echo $_SESSION[name];
判斷:isset($_SESSION[name]);
刪除:unset($_SESSION[name]);
消耗所有session :session_destroy();
注意:session_register(),session_unregister,
session_is_registered在php5下不再使用
相關文章
《session cookie 原理》http://www.cnblogs.com/weipeng/archive/2012/04/19/2457206.html
《瀏覽器 cookie 限制 》http://www.planabc.net/2008/05/22/browser_cookie_restrictions/
《cookie-百度百科》http://baike.baidu.com/view/835.htm
《session-百度百科》http://baike.baidu.com/view/25258.htm
《徹底理解PHP的SESSION機制》http://www.cnblogs.com/acpp/archive/2011/06/10/2077592.html