PHP的cookie知識:

來源:互聯網
上載者:User

標籤:des   style   tar   color   c   http   

一:cookie知識:

1、生活中的cookie無論你知不知道Cookie是什麼,在你的生活中,肯定有使用過它。還記得你使用瀏覽器瀏覽網頁時,當你要登陸時,網頁上有一個記住密碼或自動登陸的選項,當你選擇時,你就使用了Cookie。那麼在下次訪問該網站時,你可能就已經自動地登陸了,而不需要從重輸入使用者名稱和密碼,至於它是怎麼實現的,我們在下面說明。

為什麼會有Cookie的存在?因為HTTP伺服器是無狀態的,即它不會記錄任何的使用者和串連資訊。而一個Web網站通常希望能夠識別使用者,既可能是因為伺服器想限制使用者的訪問,或可能是因為它想把內容與使用者身份關聯起來。為此,HTTP使用了cookie,它可以跟蹤使用者。

2、cookie技術的組成
在瞭解cookie的工作原理之前,我們先來瞭解一下cookie技術的組成,它由4部分組成,如下:
(1)在HTTP響應報文中有一個cookie首部行;
(2)在HTTP請求報文中有一個cookie首部行;
(3)在使用者端系統中保留有一個cookie檔案,由使用者瀏覽器管理;
(4)在Web網站有一個後端資料庫;

3、cookie的工作原理
在瞭解了cookie技術的組成之後,我們來看看cookie是怎麼工作的。下面就以主機A中的瀏覽器訪問網站xxx作為例子來分析cookie的工作原理吧。

首先主機A使用瀏覽器上網,當主機A第一次訪問xxx網站時,當請求報文到達xxx的Web伺服器時,該Web伺服器將產生一個唯一識別碼(例如:12345),並以此作為索引在它的後端資料庫中產生一個表項,並用Set-cookie:首部行和剛才產生的值為設定HTTP響應報文的首部。這樣在HTTP響應報文的首部,我們就可以看到這樣的一個首部行——Set-cookie: 12345.

當主機A的瀏覽器收到該HTTP響應報文時,它會看到Set-cookie:首部,然後瀏覽器在它的本地cookie檔案上加入一行,其中包括Set-cookie:首部行中的識別碼。

由於主機A的cookie檔案已經有了用於xxx網站的表項,因此當主機A的瀏覽器繼續瀏覽xxx網站時,每請求一個Web頁面,其瀏覽器就會從它的cookie檔案中擷取到xxx網站的識別碼,並放入HTTP請求報文中cookie首部行中,即加入了首部行Cookie: 12345。

當xxx網站的伺服器收到該包含Cookie首部行的HTTP請求報文後,伺服器通過查詢後端伺服器,確定cookie標識碼對應的使用者,從而可以直接知道使用者的資訊(即知道確實有一個這樣的使用者,不久前登陸過該網站)。

注意,在cookie的方式下,xxx網站的伺服器可以跟蹤主機A在該網站的活動,xxx Web網站並不需要知道主機A的使用者是誰,但是,它確切地知道使用者12345訪問了哪些頁面,按照什麼順序,在什麼時間。

簡單點來說,cookie用於標識使用者,使用者首次訪問網站時,可能需要提供一個使用者標識,但在後繼的訪問中,瀏覽器向伺服器傳遞一個cookie首部,供伺服器識別該使用者。因此cookie可以在無狀態的HTTP上建立一個使用者會話層,允許伺服器通過使用者與應用程式之間的會話對使用者進行驗證。

4、cookie帶來的問題
然而,cookie的使用可能會帶來一定的問題。

第一,就是使用者的隱私問題,從上面的討論中,我們可以看到,網站能過我們的cookie識別號,可以知道我們在什麼時候做過什麼事情。

第二,就是資訊的安全問題,從上面的論述中,我們可以知道,伺服器並沒有進行必要的檢查,即伺服器取出包含Cookie首部行的請求報文的cookie識別號,再到後端伺服器查詢,就能確定使用者,而不管這個請求報文是否是由原本的主機發送的報文。換句話來說,如果不懷好意的人,拿到了我們的cookie識別號,並用我們的cookie標識號填充HTTP請求報文,發送給xxx網站的Web伺服器,就能冒充我們去做很多他想做的事情,獲得很多他們想獲得的資訊。

 

 

二:session一些基礎知識

在php中session是一個伺服器全域變數可以實現頁面之間傳遞了,所以session常用於伺服器端使用者會員登入驗證,session的安全性也是非常高的,下面我來介紹一下關於php session基礎知識。

session 的生命週期是多長

1:瀏覽器結束時其生命週期也同時結束,但是檔案仍然存在於 /tmp/(sess_???)  

2: 下次重新開瀏覽器時會重新分配 sessionID,如果你使用 session_id() 把以前的 ID 帶回來,則會去讀取殘存在 /tmp 處的 sess_???, 取回你之前所有已經設定的參數  

3 :可以在 PHP.ini 裡修改 session 檔案殘存的時間    

session.gc_maxlifetime = 1440 ;

after this number of seconds, stored  

data will be seen as ‘garbage‘ and  cleaned up by the gc process   

預設是 1440 秒,24分鐘  

使用 session 注意的儲存路徑問題   看看 php.ini 裡對於 session 的設定  

 [Session]  

session.save_handler = files ; handler used to store/retrieve data  

session.save_path = /tmp ; argument passed to save_handler  

in the case of files, this is the

path where data files are stored

預設是存於 /tmp 目錄下,這個目錄可不一定真有啊!!! 最好改為你的 php 安裝路徑,比如 c:/php

徹底理解PHP的SESSION機制 1.session.save_handler = files

 * 1. session_start()          

1: session_start()是session機制的開始,它有一定機率開啟記憶體回收,因為session是存放在檔案中, PHP自身的記憶體回收是無效的,SESSION的回收是要刪檔案的,這個機率是根據php.ini的配置決定的,  但是有的系統是 session.gc_probability = 0,這也就是說機率是0,而是通過cron指令碼來實現記憶體回收。

            session.gc_probability = 1        

        session.gc_divisor = 1000     

         session.gc_maxlifetime = 1440//到期時間 預設24分鐘          

     //機率是 session.gc_probability/session.gc_divisor 結果 1/1000,      

        //不建議設定過小,因為session的記憶體回收,是需要檢查每個檔案是否到期的。     

        session.save_path = //好像不同的系統預設不一樣,有一種設定是 "N;/path"      

        //這是隨機分級儲存,這個樣的話,記憶體回收將不起作用,需要自己寫指令碼

 2: session會判斷當前是否有$_COOKIE[session_name()];session_name()返回儲存session_id的COOKIE索引值,  這個值可以從php.ini找到

            session.name = PHPSESSID //預設值PHPSESSID             

 3:如果不存在會產生一個session_id,然後把產生的session_id作為COOKIE的值傳遞到用戶端. 相當於執行了下面COOKIE 操作,注意的是,這一步執行了setcookie()操作,COOKIE是在header頭中發送的,  這之前是不能有輸出的,PHP有另外一個函數 session_regenerate_id() 如果使用這個函數,這之前也是不能有輸出的。

                setcookie(session_name(),                

             session_id(),                     

         session.cookie_lifetime,//預設0                      

         session.cookie_path,//預設‘/‘當前程式跟目錄下都有效               

              session.cookie_domain,//預設為空白                           )

  4:如果存在那麼session_id = $_COOKIE[session_name];    

          然後去session.save_path指定的檔案夾裡去找名字為‘SESS_‘ . session_id()的檔案.        

         讀取檔案的內容還原序列化,然後放到$_SESSION中   

  * 2. 為$_SESSION賦值     

  比如新添加一個值$_SESSION[‘test‘] = ‘blah‘; 那麼這個$_SESSION只會維護在記憶體中,當指令碼執行結束的時候,  

  用把$_SESSION的值寫入到session_id指定的檔案夾中,然後關閉相關資源.   

   這個階段有可能執行更改session_id的操作,  比如銷毀一箇舊的的session_id,產生一個全新的session_id.一半用在自訂 session操作,角色的轉換上,

 比如     Drupal.Drupal的匿名使用者有一個SESSION的,當它登入後需要換用新的session_id

        if (isset($_COOKIE[session_name()])) {           

     setcookie(session_name(), ‘‘, time() - 42000, ‘/‘);//舊session cookie到期   

      }        

    session_regenerate_id();//這一步會產生新的session_id       

      //session_id()返回的是新的值

  3:寫入SESSION操作       在指令碼結束的時候會執行SESSION寫入操作,把$_SESSION中值寫入到session_id命名的檔案中,可能已經存在,  可能需要建立新的檔案。

  4. 銷毀SESSION        SESSION發出去的COOKIE一般屬於即時COOKIE,儲存在記憶體中,當瀏覽器關閉後,才會到期,假如需要人為強制到期,  比如 退出登入,而不是關閉瀏覽器,那麼就需要在代碼裡銷毀SESSION,方法有很多,      

       o 1. setcookie(session_name(), session_id(), time() - 8000000, ..);//退出登入前執行          

    o 2. usset($_SESSION);//這會刪除所有的$_SESSION資料,重新整理後,有COOKIE傳過來,但是沒有資料。     

       o 3. session_destroy();//這個作用更徹底,刪除$_SESSION 刪除session檔案,和session_id

       當不關閉瀏覽器的情況下,再次重新整理,2和3都會有COOKIE傳過來,但是找不到資料

2.session.save_handler = user

      使用者自訂session處理機制,更加直觀    

   * session_set_save_handler(‘open‘, ‘close‘, ‘read‘, ‘write‘, ‘destroy‘, ‘gc‘);  

  1.session_start(),      

    執行open($save_path, $session_name)開啟session操作控制代碼     

    $save_path 在session.save_handler = files的情況下它就是session.save_path,  但是如果使用者自定的話,這個兩個參數都用不上,直接返回TRUE

       執行read($id)從中讀取資料.//這個參數是自動傳遞的就是session_id(),可以通過這個值進行操作。

   2.指令碼執行結束       執行write($id, $sess_data) //兩個參數,很簡單    

   3.假如使用者需要session_destroy()        先執行destroy.在執行第2步

 

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.