跟我來學PHP5：session會話的使用和分析

　　Session的中文譯名叫做“會話”，其本來的含義是指有始有終的一系列動作/訊息，比如打電話時從拿起電話撥號到掛斷電話這中間的一系列過程可以稱之為一個session。目前社會上對session的理解非常混亂：有時候我們可以看到這樣的話“在一個瀏覽器會話期間，...”，這裡的會話是指從一個瀏覽器視窗開啟到關閉這個期間； 也可以看到“使用者（用戶端）在一次會話期間”這樣一句話，它可能指使用者的一系列動作（一般情況下是同某個具體目的相關的一系列動作，比如從登入到選購商品到結賬登出這樣一個網上購物的過程；然而有時候也可能僅僅是指一次串連；其中的差別只能靠上下文來推斷了。

　　然而當session一詞與網路通訊協定相關聯時，它又往往隱含了“連線導向”和/或“保持狀態”這樣兩個含義，“連線導向”指的是在通訊雙方在通訊之前要先建立一個通訊的渠道，比如打電話，直到對方接了電話通訊才能開始。“保持狀態”則是指通訊的一方能夠把一系列的訊息關聯起來，使得訊息之間可以互相依賴，比如一個服務員能夠認出再次光臨的老顧客並且記得上次這個顧客還欠店裡一塊錢。這一類的例子有“一個TCP session”或者“一個POP3 session”。

　　鑒於這種混亂已不可改變，要為session下個定義就很難有統一的標準。而在閱讀session相關資料時，我們也只有靠上下文來推斷理解了。不過我們可以這樣理解：例如我們打電話，從撥通的那一刻起到掛斷電話期間，因為電話一直保持著接通的狀態，所以把這種接通的狀態叫做session。它是訪客與整個網站互動過程中一直存在的公有變數，在用戶端不支援COOKIE的時候，為了保證資料正確、安全，就採用SESSION變數。訪問網站的來客會被分配一個唯一的標識符，即所謂的會話 ID。它要麼存放在用戶端的 cookie，要麼經由 URL 傳遞。

　　SESSION的發明填補了HTTP協議的局限：HTTP協議被認為是無狀態協議，無法得知使用者的瀏覽狀態，當它在服務端完成響應之後，伺服器就失去了與該瀏覽器的聯絡。這與HTTP協議本來的目的是相符的，用戶端只需要簡單的向伺服器請求下載某些檔案，無論是用戶端還是伺服器都沒有必要紀錄彼此過去的行為，每一次請求之間都是獨立的，好比一個顧客和一個自動售貨機或者一個普通的（非會員制）大賣場之間的關係一樣。

　　因此通過SESSION(cookie是另外一種解決辦法)記錄使用者的有關資訊，以供使用者再次以此身份對web伺服器提起請求時作確認。會話的發明使得一個使用者在多個頁面間切換時能夠儲存他的資訊。網站編程人員都有這樣的體會，每一頁中的變數是不能在下一頁中使用的(雖然form，url也可以實現，但這都是非常不理想的辦法)，而SESSION中註冊的變數就可以作為全域變數使用了。

　　那麼SESSION到底有什麼用處呢？網上購物時大家都用過購物車，你可以隨時把你選購的商品加入到購物車中，最後再去收銀台結帳。在整個過程中購物車一直扮演著臨時存貯被選商品的角色，用它追蹤使用者在網站上的活動情況，這就是SESSION的作用，它可以用於使用者身份認證，程式狀態記錄，頁面之間參數傳遞等。

　　SESSION的實現中採用COOKIE技術，SESSION會在用戶端儲存一個包含session_id(SESSION編號)的COOKIE；在伺服器端儲存其他session變數，比如session_name等等。當使用者請求伺服器時也把session_id一起發送到伺服器，通過session_id提取所儲存在伺服器端的變數，就能識別使用者是誰了。同時也不難理解為什麼SESSION有時會失效了。

　　當用戶端禁用COOKIE時(點擊IE中的“工具”—“Internet選項”，在彈出的對話方塊裡點擊“安全”—“自訂層級”項，將“允許每個對話COOKIE”設為禁用)，session_id將無法傳遞，此時SESSION失效。不過php5在linux/unix平台可以自動檢查cookie狀態，如果用戶端設定了禁用，則系統自動把session_id附加到url上傳遞。windows主機則無此功能。

　　Session常見函數及用法？

　　Session_start() ：開始一個會話或者返回已經存在的會話。

　　說明：這個函數沒有參數，且傳回值均為true。如果你使用基於cookie的session(cookie-based sessions),那麼在使用Session_start()之前瀏覽器不能有任何輸出，否則會發生以下錯誤：

Warning: Cannot send session cache limiter - headers already sent (output started at /usr/local/apache/htdocs/cga/member/1.php:2)…………

　　你可以在php.ini裡啟動session.auto_start=1，這樣就無需每次使用session之前都要調用session_start()。但啟用該選項也有一些限制，如果確實啟用了 session.auto_start，則不能將對象放入會話中，因為類定義必須在啟動會話之前載入以在會話中重建對象。

　　請求結束後所有註冊的變數都會被序列化。登入但未定義的變數被標記為未定義。在之後的訪問中這些變數也未被會話模組定義，除非使用者以後定義它們。

　　警告: 有些類型的資料不能被序列化因此也就不能儲存在會話中。包括 resource 變數或者有循環參考的對象（即某對象將一個指向自己的引用傳遞給另一個對象）。

　　註冊SESSION變數：

　　PHP5使用$_SESSION[‘xxx’]=xxx註冊SESSION全域變數。和GET，POST，COOKIE的使用方法相似。

　　注意：session_register()，session_unregister ，session_is_registered在php5下不再使用，除非在php.ini裡把register_globle設為on，不過出於安全考慮，強烈建議關閉register_globle。HTTP_SESSION_VARS也不提倡使用了，官方建議用$_SESSION代替之。例如：

　　Page1.php

＜?php
Session_start(); //使用SESSION前必須調用該函數。
$_SESSION[‘name’]=”我是黑旋風李逵!”; //註冊一個SESSION變數
$_SESSION[‘passwd’]=”mynameislikui”;
$_SESSION[‘time’]=time();
echo '＜br /＞＜a href="page2.php"＞通過COOKIE傳遞SESSION＜/a＞'; //如果用戶端支援cookie，可通過該連結傳遞session到下一頁。
echo '＜br /＞＜a href="page2.php?' . SID . '"＞通過URL傳遞SESSION＜/a＞';//用戶端不支援cookie時，使用該辦法傳遞session.
?＞
　　Page2.php

＜?php
session_start();
echo $_SESSION['name']; //
echo $_SESSION['passwd']; //
echo date('Y m d H:i:s', $_SESSION['time']);
echo '＜br /＞＜a href="page1.php"＞返回山一頁＜/a＞';
?＞
　　有兩種方法傳遞一個會話 ID：

　　cookie
　　URL 參數

　　會話模組支援這兩種方法。cookie 更最佳化，但由於不總是可用，也提供替代的方法。第二種方法直接將會話 ID 嵌入到 URL 中間去。
PHP 可以透明地轉換串連。除非是使用 PHP 4.2 或更新版本，需要手工在編譯 PHP 時啟用。在 Unix 下，用 --enable-trans-sid 配置選項。如果此配置選項和運行時選項 session.use_trans_sid 都被啟用(修改php.ini)，相對 URI 將被自動修改為包含會話 ID。

　　● session_id

　　session_id() 用於設定或取得當前session_id。php5中既可以使用session_id()，也可以通過附加在url上的SID取得當前會話的session_id和session_name。

　　如果session_id()有具體指定值的話，將取代當前的session_id值。使用該函數前必須啟動會話：session_start();
當我們使用session cookies時，如果指定了一個session_id()值，每次啟動session_start()都會往用戶端發送一個cookie值。不論當前session_id是否與指定值相等。

　　session_id()如果沒有指定值，則返回當前session_id();當前會話沒有啟動的話，則返回Null 字元串。

　　● 檢查session是否存在？

　　在以往的php版本中通常使用session_is_register()檢查session是否存在，如果您使用$_SESSION[‘XXX’]=XXX來註冊會話變數，則session_is_register()函數不再起作用。你可以使用isset($_SESSION[‘xxx’])來替代。

　　● 更改session_id session_regenerate_id() 更改成功則返回true，失敗則返回false。

　　使用該函數可以為當前session更改session_id，但不改變當前session的其他資訊。例如：

＜?php
session_start();
$old_sessionid = session_id();
session_regenerate_id();
$new_sessionid = session_id();
echo "原始 SessionID: $old_sessionid＜br /＞";
echo "新的 SessionID: $new_sessionid＜br /＞";
echo"＜pre＞";
print_r($_SESSION);
echo"＜/pre＞";
?＞
　　● session_name() 返回當前session的name或改變當前session的name。如果要改變當前session的name，必須在session_start()之前調用該函數。注意：session_name不能只由數字組成，它至少包含一個字母。否則會在每時每刻都產生一個新的session id.

　　 session改名樣本：

＜?php
$previous_name = session_name("WebsiteID");
echo "新的session名為： $previous_name＜br /＞";
?＞
　　● 如何刪除session？

　　1、unset ($_SESSION['xxx']) 刪除單個session，unset($_SESSION['xxx']) 用來unregister一個登入的session變數。其作用和session_unregister()相同。session_unregister()在PHP5中不再使用，可將之打入冷宮。

　　unset($_SESSION) 此函數千萬不可使用，它會將全域變數$_SESSION銷毀，而且還沒有可行的辦法將其恢複。使用者也不再可以註冊$_SESSION變數。

　　2、$_SESSION=array() 刪除多個session

　　3、session_destroy()結束當前的會話，並清空會話中的所有資源。。該函數不會unset(釋放)和當前session相關的全域變數(globalvariables),也不會刪除用戶端的session cookie.PHP預設的session是基於cookie的，如果要刪除cookie的話，必須藉助setcookie()函數。

　　傳回值：布爾值。

　　功能說明：這個函數結束當前的session，此函數沒有參數，且傳回值均為true

　　session_unset() 如果使用了$_SESSION，則該函數不再起作用。由於PHP5必定要使用$_SESSION，所以此函數可以打入冷宮了。

　　下面是PHP官方關於刪除session的案例：

＜?php
// 初始化session.
session_start();
/*** 刪除所有的session變數..也可用unset($_SESSION[xxx])逐個刪除。****/
$_SESSION = array();
/***刪除sessin id.由於session預設是基於cookie的，所以使用setcookie刪除包含session id的cookie.***/
if (isset($_COOKIE[session_name()])) {
setcookie(session_name(), '', time()-42000, '/');
}
// 最後徹底銷毀session.
session_destroy();
?＞
　　由此我們可以得出刪除Session的步驟：

　　①session_start()

　　②$_SESSION=array()/unset($_SESSION['xxx'])

　　③session_destroy()

　　● SESSION安全:

　　會話模組不能保證存放在會話中的資訊只能被建立該會話的使用者看到。根據其存放的資料，還需要採取更多措施來主動保護會話的完整性。

　　評估會話中攜帶的資料並實施附加保護措施通常要付出代價，降低使用者的方便程度。例如，如果要保護使用者免於受簡單的社交策略侵害（註：指在 URL 中顯示的會話 ID 會被別人在電腦螢幕上看到，或被別的網站通過 HTTP Referer 得到等），則應該啟用 session.use_only_cookies。此情形下，用戶端必須無條件啟用 cookie，否則會話就不工作。

　　有幾種途徑會將現有的會話 ID 泄露給第三方。泄露出的會話 ID 使第三方能夠訪問所有與指定 ID 相關聯的資源。第一，URL 攜帶會話 ID。如果串連到外部網站，包含有會話 ID 的 URL 可能會被存在外部網站的 Referer 日誌中。第二，較主動的攻擊者可能會偵聽網段的資料包。如果未加密，會話 ID 會以明文方式在網路中流過。對此的解決方式是在伺服器上實施 SSL 並強制使用者使用。

　　預設情況下，所有與特定會話相關的資料都被儲存在由 INI 選項 session.save_path 指定的目錄下的一個檔案中。對每個會話會建立一個檔案（不論是否有資料與該會話相關）。這是由於每開啟一個會話即建立一個檔案，不論是否有資料寫入到該檔案中。注意由於和檔案系統協同工作的限制，此行為有個副作用，有可能造成使用者定製的會話處理器（例如用資料庫）丟失了未儲存資料的會話。
上面介紹函數下文將會用到，但還有一些有關session的函數也介紹一下：

　　session_encode

　　函數功能：sesssion資訊編碼

　　函數原型：string session_encode(void);

　　傳回值：字串

　　功能說明：返回的字串中包含全域變數中各變數的名稱與值，形式如：a|s:12:"it is a test\";c|s:4:"lala"; a是變數名 s:12代表變數a的值"it is a test的長度是12 變數間用分號”;”分隔。

　　session_decode

　　函數功能：sesssion資訊解碼

　　函數原型：boolean session_decode (string data)

　　傳回值：布爾值

　　功能說明：這個函數可將session資訊解碼，成功則返回邏輯值true

　　Php5不再使用session_id，而是把它變成一個常量SID，並儲存在cookie中。如果用戶端禁用了cookie，php會自動通過url自動傳動傳遞SID，其條件是設定php.ini中的session.use_trans_sid = 1。此時即使用戶端即使禁用了cookie也沒關係了。

　　用 strip_tags() 來輸出 SID 以避免 XSS 相關的攻擊。

　　Session跨頁傳遞問題：

　　session跨頁傳遞需要考慮三種情況：

　　①用戶端禁用了cookie。

　　②瀏覽器出現問題，暫時無法存取cookie

　　③php.ini中的session.use_trans_sid = 0或者編譯時間沒有開啟--enable-trans-sid選項

　　為什麼會這樣呢？下面解釋一下原因：

　　Session檔案分為兩部分：session變數儲存在伺服器端（預設以檔案方式儲存session）；而session id則以cookie形式儲存在用戶端。(注意：session預設是基於cookie的)。

　　當使用者的瀏覽器向伺服器提出請求時，同時發送包含session id的cookie(預設情況下)。伺服器根據用戶端提供的session id來得到使用者的檔案，即儲存在伺服器端的session變數值。事實上，session id可以使用用戶端的Cookie或者Http1.1協議的Query_String（就是訪問的URL的“?”後面的部分）來傳送給伺服器，然後伺服器讀取Session的目錄……。也就是說，session id是取得儲存在服務上的session變數的身份證。當代碼session_start();啟動並執行時候，就在伺服器上產生了一個session檔案，隨之也產生了與之唯一對應的一個session id，定義session變數以一定形式儲存在剛才產生的session檔案中。通過session id，可以取出定義的變數。跨頁後，為了使用session，你必須又執行session_start();將又會產生一個session檔案，與之對應產生相應的session id，用這個session id是取不出前面提到的第一個session檔案中的變數的，因為這個session id不是開啟它的“鑰匙”。如果在session_start();之前加代碼session_id($session id);將不產生新的session檔案，直接讀取與這個id對應的session檔案。

　　PHP中的session在預設情況下是使用用戶端的Cookie來儲存session id的,所以當用戶端的cookie出現問題的時候就會影響session了。必須注意的是：session不一定必須依賴cookie，這也是session相比cookie的高明之處。當用戶端的Cookie被禁用或出現問題時，PHP會自動把session id附著在URL中,這樣再通過session id就能跨頁使用session變數了。但這種附著也是有一定條件的，其一：“php.ini中的session.use_trans_sid = 1或者編譯時間開啟開啟了--enable-trans-sid選項”；其二：運行PHP的伺服器必須是unix/linux系統，windows不具備此項功能。

　　明白了以上的道理，我們就可以得出解決session跨頁傳遞問題的三條途徑：

　　1、設定php.ini中的session.use_trans_sid = 1或者編譯時間開啟開啟了--enable-trans-sid選項，讓PHP自動跨頁傳遞session id。

　　2、手動通過URL傳值、隱藏表單傳遞session id。

　　3、用檔案、資料庫等形式儲存session_id,在跨頁過程中手動調用。

　　下面舉例說明：

　　第一種情況：

　　page1.php

＜?php
session_start();
$_SESSION['var1']="中華人民共和國";
$url="＜a href="."\"s2.php\"＞下一頁＜/a＞";
echo $url;
?＞
　　page2.php

＜?php
session_start();
echo "傳遞的session變數var1的值為：".$_SESSION['var1'];
?＞
　　運行以上代碼，在用戶端cookie正常的情況下，應該可以在得到結果“中華人民共和國”。

　　現在你手動關閉用戶端的cookie，再運行，可能得不到結果了吧。如果得不到結果，再“設定php.ini中的session.use_trans_sid = 1或者編譯時間開啟開啟了--enable-trans-sid選項”，又得到結果“中華人民共和國”

　　第二種途徑：

　　s1.php

＜?php
session_start();
$_SESSION['var1']="中華人民共和國";
$sn = session_id();
$url="＜a href="."\"s2.php?s=".$sn."\"＞下一頁＜/a＞"; //PHP5定義了一個常量SID來表示session_id()，$url還可以寫成$url='＜a href="page2.php?' . SID . '"＞下一頁＜/a＞';
echo $url;
?＞
　　s2.php

＜?php
session_id($_GET['s']);
session_start();
echo "傳遞的session變數var1的值為：".$_SESSION['var1'];
?＞
　　第三種途徑：

login.html
＜!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"＞
＜html＞
＜head＞
＜title＞Login＜/title＞
＜meta http-equiv="Content-Type" content="text/html; charset=??????"＞
＜/head＞
＜body＞
　　請登入：

＜form name="login" method="post" action="mylogin1.php"＞
使用者名稱:＜input type="text" name="name"＞＜br＞
口　令:＜input type="password" name="pass"＞＜br＞
＜input type="submit" value="登入"＞
＜/form＞
＜/body＞
＜/html＞
　　mylogin1.php

＜?php
$name=$_POST['name'];
$pass=$_POST['pass'];
if(!$name || !$pass) {
　echo "使用者名稱或密碼為空白，請＜a href=\"login.html\"＞重新登入＜/a＞";
　die();
}
if (!($name=="laogong" && $pass=="123")) {
　echo "使用者名稱或密碼不正確，請＜a href=\"login.html\"＞重新登入＜/a＞";
　die();
}
//註冊使用者
ob_start();
session_start();
$_SESSION['user']= $name;
$psid=session_id();
$fp=fopen("e:\\tmp\\phpsid.txt","w+");
fwrite($fp,$psid);
fclose($fp);
//身分識別驗證成功，進行相關操作
echo "已登入＜br＞";
echo "＜a href=\"mylogin2.php\"＞下一頁＜/a＞";
?＞
　　mylogin2.php

＜?php
$fp=fopen("e:\\tmp\\phpsid.txt","r");
$sid=fread($fp,1024);
fclose($fp);
session_id($sid);
session_start();
if(isset($_SESSION['user']) && $_SESSION['user']="laogong" ) {
　echo "已登入!";
}
else {
　//成功登入進行相關操作
　echo "未登入，無權訪問";
　echo "請＜a href=\"login.html\"＞登入＜/a＞後瀏覽";
　die();
}
?＞