Cookie禁用了,Session還能用嗎?
阿新 • • 發佈:2019-02-08
是不是Cookie讓禁用了,Session就一定不能用了呢?
1. ASP
在ASP中,Session必須倚賴Cookie才可用,Session是儲存在伺服器端的,而Cookie是儲存在客戶端的,相對而言,Session的安全性和可靠程度都比Cookie高。
2. PHP
在PHP中,通過相關的配置,可以讓Session不依賴Cookie而存在。這是因為:
Session,儲存於伺服器端(預設以檔案方式儲存Session),根據客戶端提供的Session ID來得到使用者的檔案,取得變數的值,Session ID可以使用客戶端的Cookie或者Http1.1協議的Query_String(就是訪問的URL的“?”後面的部分)來傳送給伺服器,然後伺服器讀取Session的目錄……。也就是說,Session ID是取得儲存在服務上的Session變數的身份證。當代碼session_start();執行的時候,就在伺服器上產生了一個Session檔案,隨之也產生了與之唯一對應的一個Session ID,定義Session變數以一定形式儲存在剛才產生的Session檔案中。通過Session ID,可以取出定義的變數。跨頁後,為了使用Session,你必須又執行session_start();將又會產生一個Session檔案,與之對應產生相應的Session ID,用這個session id是取不出前面提到的第一個Session檔案中的變數的,因為這個Session ID不是開啟它的“鑰匙”。如果在session_start();之前加程式碼session_id($session id);將不產生新的Session檔案,直接讀取與這個id對應的Session檔案。
PHP中的Session在預設情況下是使用客戶端的Cookie來儲存Session ID的,所以當客戶端的cookie出現問題的時候就會影響Session了。必須注意的是:Session不一定必須依賴Cookie,這也是Session相比Cookie的高明之處。當客戶端的Cookie被禁用或出現問題時,PHP會自動把Session ID附著在URL中,這樣再通過Session ID就能跨頁使用Session變量了。但這種附著也是有一定條件的,即“php.ini中的session.use_trans_sid = 1“,或者編譯時開啟打開了“--enable-trans-sid”選項。
用過論壇的朋友都知道,在進入論壇的時候,往往會提示你檢查Cookie是否開啟,這是因為大多數論壇都是基於Cookie的,論壇用它來儲存使用者名稱、密碼等使用者資訊,方便使用。而且很多朋友都認為Cookie不安全(其實不是這樣),往往禁用它。其實在PHP程式中,我們完全可以用Session來代替Cookie,它可以不依賴於客戶端是否開啟Cookie。
所以,我們可以拋開Cookie使用Session,即假定使用者關閉Cookie的情況下使用Session,其實現途徑有以下幾種:
1. 設定php.ini配置檔案中的“session.use_trans_sid = 1”,或者編譯時開啟打開了“--enable-trans-sid”選項,讓PHP自動跨頁傳遞Session ID。
2. 手動通過URL傳值、隱藏表單傳遞Session ID。
3. 用檔案、資料庫等形式儲存Session ID,在跨頁過程中手動呼叫。
途徑1舉例說明:
-------------------------------------------------------------------------------------------------------------------
<?php
// s1.php
session_start();
$_SESSION[’var1’]="中華人民共和國";
$url="<a href="http://laiguowei2004.blog.163.com/blog/.""s2.php">下一頁</a>";
echo $url;
?>
-------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------
<?php
// s2.php
session_start();
echo "傳遞的session變數var1的值為:".$_SESSION[’var1’];
?>
-------------------------------------------------------------------------------------------------------------------
執行以上程式碼,在客戶端cookie正常的情況下,應該可以在得到結果"中華人民共和國"。
現在你手動關閉客戶端的cookie,再執行,可能得不到結果了吧。如果得不到結果,再設定php.ini檔案中的”session.use_trans_sid = 1“,或者編譯時開啟打開了”--enable-trans-sid選項”,又得到結果“中華人民共和國”。
途徑2舉例說明:
-------------------------------------------------------------------------------------------------------------------
<?php
// s1.php
session_start();
$_SESSION[’var1’]="中華人民共和國";
$sn = session_id();
$url="<a href="http://laiguowei2004.blog.163.com/blog/.""s2.php?s=".$sn."">下一頁</a>";
echo $url;
?>
-------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------
<?php
session_id($_GET[’s’]);
session_start();
echo "傳遞的session變數var1的值為:".$_SESSION[’var1’];
?>
-------------------------------------------------------------------------------------------------------------------
途徑3舉例說明:
-------------------------------------------------------------------------------------------------------------------
login.html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Login</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body>
請登入:
<form name="login" method="post" action="mylogin1.php">
使用者名稱:<input type="text" name="name"><br>
口 令:<input type="password" name="pass"><br>
<input type="submit" value="登入">
</form>
</body>
</html>
-------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------
mylogin1.php
<?php
$name=$_POST[’name’];
$pass=$_POST[’pass’];
if(!$name || !$pass) {
echo "使用者名稱或密碼為空,請<a href="http://laiguowei2004.blog.163.com/blog/login.html">重新登入</a>";
die();
}
if (!($name=="laigw" && $pass=="1234") {
echo "使用者名稱或密碼不正確,請<a href="http://laiguowei2004.blog.163.com/blog/login.html">重新登入</a>";
die();
}
//註冊使用者
ob_start();
session_start();
$_SESSION[’user’]= $name;
$psid=session_id();
$fp=fopen("D:\tmp\phpsid.txt","w+");
fwrite($fp,$psid);
fclose($fp);
//身份驗證成功,進行相關操作
echo "已登入<br>";
echo "<a href="http://laiguowei2004.blog.163.com/blog/mylogin2.php">下一頁</a>";
?>
-------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------
mylogin2.php
<?php
$fp=fopen("D:\tmp\phpsid.txt","r");
$sid=fread($fp,1024);
fclose($fp);
session_id($sid);
session_start();
if(isset($_SESSION[’user’]) && $_SESSION[’user’]="laigw" {
echo "已登入!";
} else {
//成功登入進行相關操作
echo "未登入,無權訪問";
echo "請<a href="http://laiguowei2004.blog.163.com/blog/login.html">登入</a>後瀏覽";
die();
}
?>
-------------------------------------------------------------------------------------------------------------------
同樣請關閉Cookie測試,使用者名稱:laigw;密碼:1234;這是通過檔案儲存Session ID的,檔案是:D:/tmp/phpsid.txt,請根據自己的系統決定檔名或路徑。
總結一下,上面的方法有一個共同點,就是在前一頁取得Session ID,然後想辦法傳遞到下一頁,在下一頁的session_start();程式碼之前加程式碼Session ID(傳過來的Session ID)。
1. ASP
在ASP中,Session必須倚賴Cookie才可用,Session是儲存在伺服器端的,而Cookie是儲存在客戶端的,相對而言,Session的安全性和可靠程度都比Cookie高。
2. PHP
在PHP中,通過相關的配置,可以讓Session不依賴Cookie而存在。這是因為:
Session,儲存於伺服器端(預設以檔案方式儲存Session),根據客戶端提供的Session ID來得到使用者的檔案,取得變數的值,Session ID可以使用客戶端的Cookie或者Http1.1協議的Query_String(就是訪問的URL的“?”後面的部分)來傳送給伺服器,然後伺服器讀取Session的目錄……。也就是說,Session ID是取得儲存在服務上的Session變數的身份證。當代碼session_start();執行的時候,就在伺服器上產生了一個Session檔案,隨之也產生了與之唯一對應的一個Session ID,定義Session變數以一定形式儲存在剛才產生的Session檔案中。通過Session ID,可以取出定義的變數。跨頁後,為了使用Session,你必須又執行session_start();將又會產生一個Session檔案,與之對應產生相應的Session ID,用這個session id是取不出前面提到的第一個Session檔案中的變數的,因為這個Session ID不是開啟它的“鑰匙”。如果在session_start();之前加程式碼session_id($session id);將不產生新的Session檔案,直接讀取與這個id對應的Session檔案。
PHP中的Session在預設情況下是使用客戶端的Cookie來儲存Session ID的,所以當客戶端的cookie出現問題的時候就會影響Session了。必須注意的是:Session不一定必須依賴Cookie,這也是Session相比Cookie的高明之處。當客戶端的Cookie被禁用或出現問題時,PHP會自動把Session ID附著在URL中,這樣再通過Session ID就能跨頁使用Session變量了。但這種附著也是有一定條件的,即“php.ini中的session.use_trans_sid = 1“,或者編譯時開啟打開了“--enable-trans-sid”選項。
用過論壇的朋友都知道,在進入論壇的時候,往往會提示你檢查Cookie是否開啟,這是因為大多數論壇都是基於Cookie的,論壇用它來儲存使用者名稱、密碼等使用者資訊,方便使用。而且很多朋友都認為Cookie不安全(其實不是這樣),往往禁用它。其實在PHP程式中,我們完全可以用Session來代替Cookie,它可以不依賴於客戶端是否開啟Cookie。
所以,我們可以拋開Cookie使用Session,即假定使用者關閉Cookie的情況下使用Session,其實現途徑有以下幾種:
1. 設定php.ini配置檔案中的“session.use_trans_sid = 1”,或者編譯時開啟打開了“--enable-trans-sid”選項,讓PHP自動跨頁傳遞Session ID。
2. 手動通過URL傳值、隱藏表單傳遞Session ID。
3. 用檔案、資料庫等形式儲存Session ID,在跨頁過程中手動呼叫。
途徑1舉例說明:
-------------------------------------------------------------------------------------------------------------------
<?php
// s1.php
session_start();
$_SESSION[’var1’]="中華人民共和國";
$url="<a href="http://laiguowei2004.blog.163.com/blog/.""s2.php">下一頁</a>";
echo $url;
?>
-------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------
<?php
// s2.php
session_start();
echo "傳遞的session變數var1的值為:".$_SESSION[’var1’];
?>
-------------------------------------------------------------------------------------------------------------------
執行以上程式碼,在客戶端cookie正常的情況下,應該可以在得到結果"中華人民共和國"。
現在你手動關閉客戶端的cookie,再執行,可能得不到結果了吧。如果得不到結果,再設定php.ini檔案中的”session.use_trans_sid = 1“,或者編譯時開啟打開了”--enable-trans-sid選項”,又得到結果“中華人民共和國”。
途徑2舉例說明:
-------------------------------------------------------------------------------------------------------------------
<?php
// s1.php
session_start();
$_SESSION[’var1’]="中華人民共和國";
$sn = session_id();
$url="<a href="http://laiguowei2004.blog.163.com/blog/.""s2.php?s=".$sn."">下一頁</a>";
echo $url;
?>
-------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------
<?php
session_id($_GET[’s’]);
session_start();
echo "傳遞的session變數var1的值為:".$_SESSION[’var1’];
?>
-------------------------------------------------------------------------------------------------------------------
途徑3舉例說明:
-------------------------------------------------------------------------------------------------------------------
login.html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Login</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body>
請登入:
<form name="login" method="post" action="mylogin1.php">
使用者名稱:<input type="text" name="name"><br>
口 令:<input type="password" name="pass"><br>
<input type="submit" value="登入">
</form>
</body>
</html>
-------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------
mylogin1.php
<?php
$name=$_POST[’name’];
$pass=$_POST[’pass’];
if(!$name || !$pass) {
echo "使用者名稱或密碼為空,請<a href="http://laiguowei2004.blog.163.com/blog/login.html">重新登入</a>";
die();
}
if (!($name=="laigw" && $pass=="1234") {
echo "使用者名稱或密碼不正確,請<a href="http://laiguowei2004.blog.163.com/blog/login.html">重新登入</a>";
die();
}
//註冊使用者
ob_start();
session_start();
$_SESSION[’user’]= $name;
$psid=session_id();
$fp=fopen("D:\tmp\phpsid.txt","w+");
fwrite($fp,$psid);
fclose($fp);
//身份驗證成功,進行相關操作
echo "已登入<br>";
echo "<a href="http://laiguowei2004.blog.163.com/blog/mylogin2.php">下一頁</a>";
?>
-------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------
mylogin2.php
<?php
$fp=fopen("D:\tmp\phpsid.txt","r");
$sid=fread($fp,1024);
fclose($fp);
session_id($sid);
session_start();
if(isset($_SESSION[’user’]) && $_SESSION[’user’]="laigw" {
echo "已登入!";
} else {
//成功登入進行相關操作
echo "未登入,無權訪問";
echo "請<a href="http://laiguowei2004.blog.163.com/blog/login.html">登入</a>後瀏覽";
die();
}
?>
-------------------------------------------------------------------------------------------------------------------
同樣請關閉Cookie測試,使用者名稱:laigw;密碼:1234;這是通過檔案儲存Session ID的,檔案是:D:/tmp/phpsid.txt,請根據自己的系統決定檔名或路徑。
總結一下,上面的方法有一個共同點,就是在前一頁取得Session ID,然後想辦法傳遞到下一頁,在下一頁的session_start();程式碼之前加程式碼Session ID(傳過來的Session ID)。