PHP 會話 (Session) 使用入門

session

　　對比起 Cookie，Session 是儲存在伺服器端的會話，相對安全，並且不像 Cookie 那樣有儲存長度限制，本文簡單介紹 Session 的使用。

　　由於 Session 是以文字檔形式儲存在伺服器端的，所以不怕用戶端修改 Session 內容。實際上在伺服器端的 Session 檔案，PHP 自動修改 Session 檔案的許可權，只保留了系統讀和寫入權限，而且不能通過 ftp 修改，所以安全得多。

　　對於 Cookie 來說，假設我們要驗證使用者是否登陸，就必須在 Cookie 中儲存使用者名稱和密碼（可能是 md5 加密後字串），並在每次請求頁面的時候進行驗證。如果使用者名稱和密碼儲存在資料庫，每次都要執行一次資料庫查詢，給資料庫造成多餘的負擔。因為我們並不能只做一次驗證。為什麼呢？因為用戶端 Cookie 中的資訊是有可能被修改的。假如你儲存 $admin 變數來表示使用者是否登陸，$admin 為 true 的時候表示登陸，為 false 的時候表示未登入，在第一次通過驗證後將 $admin 等於 true 儲存在 Cookie，下次就不用驗證了，這樣對嗎？錯了，假如有人偽造一個值為 true 的 $admin 變數那不是就立即取的了系統管理權限嗎？非常的不安全。

　　而 Session 就不同了，Session 是儲存在伺服器端的，遠端使用者沒辦法修改 Session 檔案的內容，因此我們可以單純儲存一個 $admin 變數來判斷是否登陸，首次驗證通過後設定 $admin 值為 true，以後判斷該值是否為 true，假如不是，轉入登陸介面，這樣就可以減少很多資料庫操作了。而且可以減少每次為了驗證 Cookie 而傳遞密碼的不安全性了（Session 驗證只需要傳遞一次，假如你沒有使用 SSL 安全性通訊協定的話）。即使密碼進行了 md5 加密，也是很容易被截獲的。

　　當然使用 Session 還有很多優點，比如控制容易，可以按照使用者自訂儲存等（儲存於資料庫）。我這裡就不多說了。

　　Session 在 php.ini 是否需要設定呢？一般不需要的，因為並不是每個人都有修改 php.ini 的許可權，預設 Session 的存放路徑是伺服器的系統臨時檔案夾，我們可以自訂存放在自己的檔案夾裡，這個稍後我會介紹。

　　開始介紹如何建立 Session。非常簡單，真的。

　　啟動 Session 會話，並建立一個 $admin 變數：

<?php
    //  啟動 Session
    session_start();
    //  聲明一個名為 admin 的變數，並賦空值。
    $_SESSION["admin"] = null;
?>

　　如果你使用了 Seesion，或者該 PHP 檔案要調用 Session 變數，那麼就必須在調用 Session 之前啟動它，使用 session_start() 函數。其它都不需要你設定了，PHP 自動完成 Session 檔案的建立。

　　執行完這個程式後，我們可以到系統臨時檔案夾找到這個 Session 檔案，一般檔案名稱形如：sess_4c83638b3b0dbf65583181c2f89168ec，後面是 32 位編碼後的隨機字串。用編輯器開啟它，看一下它的內容：

admin|N;

一般該內容是這樣的結構：

變數名|類型:長度:值;

並用分號隔開每個變數。有些是可以省略的，比如長度和類型。

　　我們來看一下驗證程式，假設資料庫儲存的是使用者名稱和 md5 加密後的密碼：

login.php

<?php

    //  表單提交後...
    $posts = $_POST;
    //  清除一些空白符號
    foreach ($posts as $key => $value)
    {
        $posts[$key] = trim($value);
    }
    $password = md5($posts["password"]);
    $username = $posts["username"];

    $query = "SELECT `username` FROM `user` WHERE `password` = '$password'";
    //  取得查詢結果
    $userInfo = $DB->getRow($query);

    if (!empty($userInfo))
    {
        if ($userInfo["username"] == $username)
        {
            //  當驗證通過後，啟動 Session
            session_start();
            //  註冊登陸成功的 admin 變數，並賦值 true
            $_SESSION["admin"] = true;
        }
        else
        {
            die("使用者名稱密碼錯誤");
        }
    }
    else
    {
        die("使用者名稱密碼錯誤");
    }

?>

　　我們在需要使用者驗證的頁面啟動 Session，判斷是否登陸：

<?php

    //  防止全域變數造成安全隱患
    $admin = false;

    //  啟動會話，這步必不可少
    session_start();

    //  判斷是否登陸
    if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true)
    {
        echo "您已經成功登陸";
    }
    else
    {
        //  驗證失敗，將 $_SESSION["admin"] 置為 false
        $_SESSION["admin"] = false;
        die("您無權訪問");
    }

?>

　　是不是很簡單呢？將 $_SESSION 看成是儲存在伺服器端的數組即可，我們註冊的每一個變數都是數組的鍵，跟使用數組沒有什麼分別。

　　如果要登出系統怎麼辦？銷毀 Session 即可。

<?php

    session_start();
    //  這種方法是將原來註冊的某個變數銷毀
    unset($_SESSION["admin"]);

    //  這種方法是銷毀整個 Session 檔案
    session_destroy();

?>

　　Session 能否像 Cookie 那樣設定生存周期呢？有了 Session 是否就完全拋棄 Cookie 呢？我想說，結合 Cookie 來使用 Session 才是最方便的。

　　Session 是如何來判斷用戶端使用者的呢？它是通過 Session ID 來判斷的，什麼是 Session ID，就是那個 Session 檔案的檔案名稱，Session ID 是隨機產生的，因此能保證唯一性和隨機性，確保 Session 的安全。一般如果沒有設定 Session 的生存周期，則 Session ID 儲存在記憶體中，關閉瀏覽器後該 ID 自動登出，重新請求該頁面後，重新註冊一個 Session ID。

　　如果用戶端沒有禁用 Cookie，則 Cookie 在啟動 Session 會話的時候扮演的是儲存 Session ID 和 Session 生存期的角色。

　　我們來手動設定 Session 的生存期：

<?php 

    session_start(); 
    //  儲存一天
    $lifeTime = 24 * 3600;
    setcookie(session_name(), session_id(), time() + $lifeTime, "/"); 

?>

　　其實 Session 還提供了一個函數 session_set_cookie_params(); 來設定 Session 的生存期的，該函數必須在 session_start() 函數調用之前調用：

<?php 

    //  儲存一天
    $lifeTime = 24 * 3600;
    session_set_cookie_params($lifeTime);
    session_start();
    $_SESSION["admin"] = true;

?>

　　如果用戶端使用 IE 6.0 ， session_set_cookie_params(); 函數設定 Cookie 會有些問題，所以我們還是手動調用 setcookie 函數來建立 cookie。

　　假設用戶端禁用 Cookie 怎麼辦？沒辦法，所有生存周期都是瀏覽器進程了，只要關閉瀏覽器，再次請求頁面又得重新註冊 Session。那麼怎麼傳遞 Session ID 呢？通過 URL 或者通過隱藏表單來傳遞，PHP 會自動將 Session ID 發送到 URL 上，URL 形如：http://www.openphp.cn/index.php?PHPSESSID=bba5b2a240a77e5b44cfa01d49cf9669，其中 URL 中的參數 PHPSESSID 就是 Session ID了，我們可以使用 $_GET 來擷取該值，從而實現 Session ID 頁面間傳遞。

<?php 

    //  儲存一天
    $lifeTime = 24 * 3600;
    //  取得當前 Session 名，預設為 PHPSESSID
    $sessionName = session_name();
    //  取得 Session ID
    $sessionID = $_GET[$sessionName];
    //  使用 session_id() 設定獲得的 Session ID
    session_id($sessionID); 

    session_set_cookie_params($lifeTime);
    session_start();
    $_SESSION["admin"] = true;

?>

　　對於虛擬機器主機來說，如果所有使用者的 Session 都儲存在系統臨時檔案夾裡，將給維護造成困難，而且降低了安全性，我們可以手動設定 Session 檔案的儲存路徑，session_save_path() 就提供了這樣一個功能。我們可以將 Session 存放目錄指向一個不能通過 Web 方式訪問的檔案夾，當然，該檔案夾必須具備可讀寫屬性。

<?php 

    //  設定一個存放目錄
    $savePath = "./session_save_dir/";
    //  儲存一天
    $lifeTime = 24 * 3600;
    session_save_path($savePath);
    session_set_cookie_params($lifeTime);
    session_start();
    $_SESSION["admin"] = true;

?>

　　同 session_set_cookie_params(); 函數一樣，session_save_path() 函數也必須在 session_start() 函數調用之前調用。

　　我們還可以將數組，Object Storage Service在 Session 中。運算元組和操作一般變數沒有什麼區別，而儲存對象的話，PHP 會自動對對象進行序列化（也叫序列化），然後儲存於 Session 中。下面例子說明了這一點：

person.php

<?php
    class person
    {
        var $age;
        function output() {
            echo $this->age;
        }
     
        function setAge($age) {
            $this->age = $age;
        }
    }
?>

setage.php

<?php

    session_start();
    require_once "person.php";
    $person = new person();
    $person->setAge(21);
    $_SESSION['person'] = $person;
    echo "<a href='output'>check here to output age</a>";

?>

output.php

<?

    // 設定回呼函數，確保重新構建對象。
    ini_set('unserialize_callback_func', 'mycallback');
    function mycallback($classname) {
        include_once $classname . ".php";
    }
    session_start(); 
    $person = $_SESSION["person"];
    //  輸出 21
    $person->output();

?>

　　當我們執行 setage.php 檔案的時候，調用了 setage() 方法，設定了年齡為 21，並將該狀態序列化後儲存在 Session 中（PHP 將自動完成這一轉換），當轉到 output.php 後，要輸出這個值，就必須還原序列化剛才儲存的對象，又因為在解序列化的時候需要執行個體化一個未定義類，所以我們定義了以後回呼函數，自動包含 person.php 這個類檔案，因此對象被重構，並取得當前 age 的值為 21，然後調用 output() 方法輸出該值。

　　另外，我們還可以使用 session_set_save_handler 函數來自訂 Session 的調用方式。