標籤:des style tar color c http
一:cookie知識:
1、生活中的cookie無論你知不知道Cookie是什麼,在你的生活中,肯定有使用過它。還記得你使用瀏覽器瀏覽網頁時,當你要登陸時,網頁上有一個記住密碼或自動登陸的選項,當你選擇時,你就使用了Cookie。那麼在下次訪問該網站時,你可能就已經自動地登陸了,而不需要從重輸入使用者名稱和密碼,至於它是怎麼實現的,我們在下面說明。
為什麼會有Cookie的存在?因為HTTP伺服器是無狀態的,即它不會記錄任何的使用者和串連資訊。而一個Web網站通常希望能夠識別使用者,既可能是因為伺服器想限制使用者的訪問,或可能是因為它想把內容與使用者身份關聯起來。為此,HTTP使用了cookie,它可以跟蹤使用者。
2、cookie技術的組成
在瞭解cookie的工作原理之前,我們先來瞭解一下cookie技術的組成,它由4部分組成,如下:
(1)在HTTP響應報文中有一個cookie首部行;
(2)在HTTP請求報文中有一個cookie首部行;
(3)在使用者端系統中保留有一個cookie檔案,由使用者瀏覽器管理;
(4)在Web網站有一個後端資料庫;
3、cookie的工作原理
在瞭解了cookie技術的組成之後,我們來看看cookie是怎麼工作的。下面就以主機A中的瀏覽器訪問網站xxx作為例子來分析cookie的工作原理吧。
首先主機A使用瀏覽器上網,當主機A第一次訪問xxx網站時,當請求報文到達xxx的Web伺服器時,該Web伺服器將產生一個唯一識別碼(例如:12345),並以此作為索引在它的後端資料庫中產生一個表項,並用Set-cookie:首部行和剛才產生的值為設定HTTP響應報文的首部。這樣在HTTP響應報文的首部,我們就可以看到這樣的一個首部行——Set-cookie: 12345.
當主機A的瀏覽器收到該HTTP響應報文時,它會看到Set-cookie:首部,然後瀏覽器在它的本地cookie檔案上加入一行,其中包括Set-cookie:首部行中的識別碼。
由於主機A的cookie檔案已經有了用於xxx網站的表項,因此當主機A的瀏覽器繼續瀏覽xxx網站時,每請求一個Web頁面,其瀏覽器就會從它的cookie檔案中擷取到xxx網站的識別碼,並放入HTTP請求報文中cookie首部行中,即加入了首部行Cookie: 12345。
當xxx網站的伺服器收到該包含Cookie首部行的HTTP請求報文後,伺服器通過查詢後端伺服器,確定cookie標識碼對應的使用者,從而可以直接知道使用者的資訊(即知道確實有一個這樣的使用者,不久前登陸過該網站)。
注意,在cookie的方式下,xxx網站的伺服器可以跟蹤主機A在該網站的活動,xxx Web網站並不需要知道主機A的使用者是誰,但是,它確切地知道使用者12345訪問了哪些頁面,按照什麼順序,在什麼時間。
簡單點來說,cookie用於標識使用者,使用者首次訪問網站時,可能需要提供一個使用者標識,但在後繼的訪問中,瀏覽器向伺服器傳遞一個cookie首部,供伺服器識別該使用者。因此cookie可以在無狀態的HTTP上建立一個使用者會話層,允許伺服器通過使用者與應用程式之間的會話對使用者進行驗證。
4、cookie帶來的問題
然而,cookie的使用可能會帶來一定的問題。
第一,就是使用者的隱私問題,從上面的討論中,我們可以看到,網站能過我們的cookie識別號,可以知道我們在什麼時候做過什麼事情。
第二,就是資訊的安全問題,從上面的論述中,我們可以知道,伺服器並沒有進行必要的檢查,即伺服器取出包含Cookie首部行的請求報文的cookie識別號,再到後端伺服器查詢,就能確定使用者,而不管這個請求報文是否是由原本的主機發送的報文。換句話來說,如果不懷好意的人,拿到了我們的cookie識別號,並用我們的cookie標識號填充HTTP請求報文,發送給xxx網站的Web伺服器,就能冒充我們去做很多他想做的事情,獲得很多他們想獲得的資訊。
二:session一些基礎知識
在php中session是一個伺服器全域變數可以實現頁面之間傳遞了,所以session常用於伺服器端使用者會員登入驗證,session的安全性也是非常高的,下面我來介紹一下關於php session基礎知識。
session 的生命週期是多長
1:瀏覽器結束時其生命週期也同時結束,但是檔案仍然存在於 /tmp/(sess_???)
2: 下次重新開瀏覽器時會重新分配 sessionID,如果你使用 session_id() 把以前的 ID 帶回來,則會去讀取殘存在 /tmp 處的 sess_???, 取回你之前所有已經設定的參數
3 :可以在 PHP.ini 裡修改 session 檔案殘存的時間
session.gc_maxlifetime = 1440 ;
after this number of seconds, stored
data will be seen as ‘garbage‘ and cleaned up by the gc process
預設是 1440 秒,24分鐘
使用 session 注意的儲存路徑問題 看看 php.ini 裡對於 session 的設定
[Session]
session.save_handler = files ; handler used to store/retrieve data
session.save_path = /tmp ; argument passed to save_handler
in the case of files, this is the
path where data files are stored
預設是存於 /tmp 目錄下,這個目錄可不一定真有啊!!! 最好改為你的 php 安裝路徑,比如 c:/php
徹底理解PHP的SESSION機制 1.session.save_handler = files
* 1. session_start()
1: session_start()是session機制的開始,它有一定機率開啟記憶體回收,因為session是存放在檔案中, PHP自身的記憶體回收是無效的,SESSION的回收是要刪檔案的,這個機率是根據php.ini的配置決定的, 但是有的系統是 session.gc_probability = 0,這也就是說機率是0,而是通過cron指令碼來實現記憶體回收。
session.gc_probability = 1
session.gc_divisor = 1000
session.gc_maxlifetime = 1440//到期時間 預設24分鐘
//機率是 session.gc_probability/session.gc_divisor 結果 1/1000,
//不建議設定過小,因為session的記憶體回收,是需要檢查每個檔案是否到期的。
session.save_path = //好像不同的系統預設不一樣,有一種設定是 "N;/path"
//這是隨機分級儲存,這個樣的話,記憶體回收將不起作用,需要自己寫指令碼
2: session會判斷當前是否有$_COOKIE[session_name()];session_name()返回儲存session_id的COOKIE索引值, 這個值可以從php.ini找到
session.name = PHPSESSID //預設值PHPSESSID
3:如果不存在會產生一個session_id,然後把產生的session_id作為COOKIE的值傳遞到用戶端. 相當於執行了下面COOKIE 操作,注意的是,這一步執行了setcookie()操作,COOKIE是在header頭中發送的, 這之前是不能有輸出的,PHP有另外一個函數 session_regenerate_id() 如果使用這個函數,這之前也是不能有輸出的。
setcookie(session_name(),
session_id(),
session.cookie_lifetime,//預設0
session.cookie_path,//預設‘/‘當前程式跟目錄下都有效
session.cookie_domain,//預設為空白 )
4:如果存在那麼session_id = $_COOKIE[session_name];
然後去session.save_path指定的檔案夾裡去找名字為‘SESS_‘ . session_id()的檔案.
讀取檔案的內容還原序列化,然後放到$_SESSION中
* 2. 為$_SESSION賦值
比如新添加一個值$_SESSION[‘test‘] = ‘blah‘; 那麼這個$_SESSION只會維護在記憶體中,當指令碼執行結束的時候,
用把$_SESSION的值寫入到session_id指定的檔案夾中,然後關閉相關資源.
這個階段有可能執行更改session_id的操作, 比如銷毀一箇舊的的session_id,產生一個全新的session_id.一半用在自訂 session操作,角色的轉換上,
比如 Drupal.Drupal的匿名使用者有一個SESSION的,當它登入後需要換用新的session_id
if (isset($_COOKIE[session_name()])) {
setcookie(session_name(), ‘‘, time() - 42000, ‘/‘);//舊session cookie到期
}
session_regenerate_id();//這一步會產生新的session_id
//session_id()返回的是新的值
3:寫入SESSION操作 在指令碼結束的時候會執行SESSION寫入操作,把$_SESSION中值寫入到session_id命名的檔案中,可能已經存在, 可能需要建立新的檔案。
4. 銷毀SESSION SESSION發出去的COOKIE一般屬於即時COOKIE,儲存在記憶體中,當瀏覽器關閉後,才會到期,假如需要人為強制到期, 比如 退出登入,而不是關閉瀏覽器,那麼就需要在代碼裡銷毀SESSION,方法有很多,
o 1. setcookie(session_name(), session_id(), time() - 8000000, ..);//退出登入前執行
o 2. usset($_SESSION);//這會刪除所有的$_SESSION資料,重新整理後,有COOKIE傳過來,但是沒有資料。
o 3. session_destroy();//這個作用更徹底,刪除$_SESSION 刪除session檔案,和session_id
當不關閉瀏覽器的情況下,再次重新整理,2和3都會有COOKIE傳過來,但是找不到資料
2.session.save_handler = user
使用者自訂session處理機制,更加直觀
* session_set_save_handler(‘open‘, ‘close‘, ‘read‘, ‘write‘, ‘destroy‘, ‘gc‘);
1.session_start(),
執行open($save_path, $session_name)開啟session操作控制代碼
$save_path 在session.save_handler = files的情況下它就是session.save_path, 但是如果使用者自定的話,這個兩個參數都用不上,直接返回TRUE
執行read($id)從中讀取資料.//這個參數是自動傳遞的就是session_id(),可以通過這個值進行操作。
2.指令碼執行結束 執行write($id, $sess_data) //兩個參數,很簡單
3.假如使用者需要session_destroy() 先執行destroy.在執行第2步