PHP版本--HTTP session cookie原理及應用

PHP 的COOKIE

cookie 是一種在遠程瀏覽器端儲存資料並以此來跟蹤和識別使用者的機制。
PHP在http 協議的頭資訊裡發送cookie，因此 setcookie()函數必須在其它資訊被輸出到瀏覽器前調用，這和對header()函數的限制類似。

------------------------------------------------------------------------------------------------------------------------------

1.設定cookie:

a.可以用 setcookie()或 setrawcookie()函數來設定 cookie。也可以通過向用戶端直接發送http頭來設定。

eg:

Php代碼

1. $value = 'something from somewhere';
2. setcookie("TestCookie", $value); /* 簡單 cookie設定 */
3. setcookie("TestCookie", $value, time()+3600); /* 有效期間 1個小時 */
4. setcookie("TestCookie", $value, time()+3600, "/~rasmus/",
5. ".example.com", 1); /* 有效目錄 /~rasmus,有效網域名稱 example.com及其所有子網域名稱 */

設定多個 cookie 變數：setcookie('var[a]','value'); 用數組來表示變數，但他的下標不用引號。這樣就可以用$_COOKIE[‘var’][‘a’]來讀取該COOKIE 變數。

b. 使用 header()設定cookie;

header("Set-Cookie: name=$value[;path=$path[;domain=xxx.com[;...]]");

eg:

Php代碼

1. $value = 'something from somewhere';
2. header("Set-Cookie:name=$value");

------------------------------------------------------------------------------------------------------------------------------

2.讀取cookie:

直接用php 內建超級全域變數$_COOKIE 就可以讀取瀏覽器端的cookie。

上面例子中設定了cookie "TestCookie"，現在我們來讀取：

eg:

Php代碼

1. print $_COOKIE['TestCookie'];

------------------------------------------------------------------------------------------------------------------------------

3.刪除cookie

只需把有效時間設為小於目前時間，和把值設定為空白。例如：

eg:

Php代碼

1. setcookie("name", "", time()-1);

用header()類似。

note:

a.用setcookie()時有錯誤提示，可能是因為調用setcookie()前面有輸出或空格。也可能你的文檔是從其他字元集轉 換過來，文檔後面可能帶有 BOM 簽名(就是在檔案內容添加一些隱藏的BOM 字元)。解決的辦法就是使你的文檔不出現這種情況。還有通過使用ob_start()函數 也能處理一點。

b.$_COOKIE 受magic_quotes_gpc 影響，可能自動轉義

c.使用的時候，有必要測試使用者是否支援cookie

------------------------------------------------------------------------------------------------------------------------------

4.原理.

a.伺服器通過隨著響應發送一個http 的Set-Cookie 頭，在客戶機中設定一個cookie(多個cookie 要多個頭)。

b.用戶端自動向伺服器端發送一個http 的cookie 頭，伺服器接收讀取。
HTTP/1.x 200 OK
X-Powered-By: PHP/5.2.1
Set-Cookie: TestCookie=something from somewhere; path=/
Expires: Thu, 19 Nov 2007 18:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-type: text/html

這一行實現了cookie 功能，收到這行後

Set-Cookie: TestCookie=something from somewhere; path=/
瀏覽器將在用戶端的磁碟上建立一個cookie 檔案，並在裡面寫入：

TestCookie=something from somewhere;

這一行就是我們用 setcookie('TestCookie','something from somewhere','/'); 的結果。也就是用
header('Set-Cookie: TestCookie=something from somewhere; path=/');的結果。

-------------------------------------------------分割線--------------------------------------------------------------------

PHP 的SESSION

session 使用到期時間設為0 的cookie，並且將一個稱為session ID 的唯一識別碼(一長串字串)，在伺服器端同步處理產生一些 session 檔案(可以自己定義 session 的檔案類型)，與使用者機關聯起來。web應用程式存貯與這些 session 相關的資料，並且讓資料隨著使用者在頁面之間傳遞.訪問網站的來客會被分配一個唯一的標識符，即所謂的 SESSION ID。它要麼存放在用戶端的cookie，要麼經由 URL 傳遞.SESSION 允許使用者註冊任意數目的變數並保留給各個請求使用。當來客訪問網站時，PHP會自動（如果session.auto_start 被設為1）或在使用者請求時（由session_start()明確調用或session_register() 暗中調用）檢查請求中是否發送了特定的SESSION ID。如果是，則之前儲存的環境就被重建。

session最最核心的概念就是：網頁間跳轉的額外資料，儲存在伺服器，用一個id標識，瀏覽器要維持session，需要每次提交都帶上這個id.

------------------------------------------------------------------------------------------------------------------------------

session id的傳遞有兩種方式:

a.通過 cookie 傳送 SESSION ID

使用 session_start()調用 session，伺服器端在產生session 檔案的同時，產生 session ID 雜湊值和預設值為PHPSESSID 的session name，並向用戶端發送變數為(預設的是)PHPSESSID(session name)，值為一個 128 位的雜湊值。伺服器端將通過該 cookie 與用戶端進行互動。session 變數的值經php內部序列化後儲存在伺服器機器上的文字檔中，和用戶端的變數名預設情況下為PHPSESSID 的coolie 進行對應互動.即伺服器自動發送了http 頭：header('Set-Cookie: session_name()=session_id(); path=/'); 即setcookie(session_name(),session_id());
當從該頁跳轉到的新頁面並調用session_start()後，PHP 將檢查與給定ID 相關聯的伺服器端存貯的session 資料，如果沒找到，則建立一個資料集。

b.通過URL傳送 session ID

只有在使用者禁止使用cookie 的時候才用這種方法，因為瀏覽器cookie 已經通用，為安全起見，可不用該方法。
=">xxx，也可以通過POST 來傳遞 session 值。

------------------------------------------------------------------------------------------------------------------------------

如果用戶端禁止使用cookie,可以使用如下辦法:

a、設定php.ini中的session.use_trans_sid = 1或者編譯時間開啟開啟了--enable-trans-sid選項，讓PHP自動跨頁傳遞session id。
b、手動通過URL傳值、隱藏表單傳遞session id。
c、用檔案、資料庫等形式儲存session_id,在跨頁過程中手動調用。

link:http://apps.hi.baidu.com/share/detail/41643457

session也可以在禁用cookie的情況下使用：
php.ini中session.use_cookies=1，改為0，session會儲存在伺服器端，而不是用戶端的cookie。

可以通過session.save_path來查看伺服器的session存放位置

session的使用:

eg:

Php代碼

1. // page1.php
2. session_start();
3. echo 'Welcome to page #1';
4. /* 建立 session變數並給 session變數賦值 */
6. $_SESSION['favcolor'] = 'green';
7. $_SESSION['animal'] = 'cat';
8. $_SESSION['time'] = time();
9. // 如果用戶端使用 cookie,可直接傳遞 session到page2.php
10. echo '
    page 2';
11. // 如果用戶端禁用 cookie
12. echo '
    . SID . '">page 2';
13. /*
14. 預設php5.2.1下,SID只有在 cookie被寫入的同時才會有值,如果該 session
15. 對應的 cookie 已經存在,那麼 SID將為 (未定義)空
16. */

Php代碼

1. // page2.php
2. session_start();
3. print $_SESSION['animal']; // 列印出單個 session
4. var_dump($_SESSION); // 列印出page1.php傳過來的 session值

刪除session:

eg:

Php代碼

1. session_destroy(); // 第一步: 刪除伺服器端 session檔案,這使用
2. setcookie(session_name(),'',time()-3600); // 第 二 步 : 刪 除 實 際 的session:
3. $_SESSION = array(); // 第三步: 刪除$_SESSION全域變數數組
4. ?>

------------------------------------------------------------------------------------------------------------------------------

一個簡單的樣本:

php code:

Php代碼

1. session_start();
3. if (isset($_SESSION['test_sess'])){
5. $_SESSION['test_sess']++;
7. }else{
9. $_SESSION['test_sess'] = 0;
11. }
13. echo $_SESSION['test_sess'];

使用的一個叫做httplook的http包嗅探工具來抓包:

第一次請求伺服器:

GET /test.php HTTP/1.1
Accept: */*
Referer: http://localhost/
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322)
Host: localhost
Connection: Keep-Alive

伺服器第一次返回:

HTTP/1.1 200 OK
Date: Fri, 26 Aug 2005 07:44:22 GMT
Server: Apache/2.0.54 (Win32) SVN/1.2.1 PHP/5.0.4 DAV/2
X-Powered-By: PHP/5.0.4
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 1
Keep-Alive: timeout=15, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
Content-Language: Off

第二次請求伺服器:

GET /test.php HTTP/1.1
Accept: */*
Referer: http://localhost/
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322)
Host: localhost
Connection: Keep-Alive
Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3

伺服器第二次返回:

HTTP/1.1 200 OK
Date: Fri, 26 Aug 2005 07:44:23 GMT
Server: Apache/2.0.54 (Win32) SVN/1.2.1 PHP/5.0.4 DAV/2
X-Powered-By: PHP/5.0.4
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 1
Keep-Alive: timeout=15, max=98
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
Content-Language: Off

仔細對比這些輸出，第二次請求比第一次請求多出來的就是：
Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3
這個header將會向伺服器發送一個cookie資訊，告訴伺服器我有一個cookie，名字叫PHPSESSID，內容是bmmc3mfc94ncdr15ujitjogma3。
這個cookie是怎麼來的呢？看第一次伺服器返回的資訊裡邊有：
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/
這是伺服器向用戶端瀏覽器寫一個cookie，名字是PHPSESSID，值是bmmc3mfc94ncdr15ujitjogma3，這個值實際就是所謂的session_id。
繼續看第二次向伺服器發出的請求，仍然向伺服器發送了PHPSESSID這個cookie
可以得到以下結論：
1、只要使用了session，就會通過cookie的方式向用戶端瀏覽器發送session
2、每次向伺服器發出請求的時候，本地瀏覽器會把cookie附帶在請求資訊中

總結:

只要使用了session，就會通過cookie的方式向用戶端瀏覽器發送session
實際上session完全是一個抽象的概念,session真正要做的,是在除了http提供的get和post提供的參數之外,針對某個使用者(可能是個瀏覽器,或是台電腦,甚至是個ip),能儲存額外的資訊。如果我們不用系統提供的session，完全也可以傳遞資料，比如把我們原本要存入session的資料，序列化後再加密，形成一個字串，在頁面上所有的url和form裡傳遞。伺服器收到頁面請求後，從get或post裡取出機密串，揭開，還原資料，實際上和session要做的東西一個樣。只不過這種方式超級bt，要實現需要做太多額外的工作。
session從技術角度講，就是把在網頁連結之間，額外要儲存的資料，用一個id命名，儲存在伺服器端，而瀏覽器只需要每次get或post的適合，只提供這個id，就能獲得之前儲存的資料。php預設是用檔案來儲存資料的。unix下，php一般會在/tmp下面，建立 "sess_"+$session_id 這樣的檔案名稱，通過這個名字，就能直接找到session_id對應的資料。 所以session最最核心的概念就是：網頁間跳轉的額外資料，儲存在伺服器，用一個id標識，瀏覽器要維持session，需要每次提交都帶上這個id。
怎麼能讓瀏覽器每次請求都能帶上這個id呢，笨辦法當然是在每個url連結或form的post裡都加個id的參數，有些webmail實際上就是這麼做的。當然更簡單的辦法就是通過cookie儲存。但cookie方案還有個問題，如果瀏覽器不支援cookie怎麼辦,上面也有陳述.
上述的session，是php4,5提供的session功能，要知道php4之前系統都沒有提供session功能！而且很多cgi程式，都是完全自己實現的session。php(4,5)提供的session，系統預設會用cookie來儲存session_id
我之前一個項目，使用者都在內網使用web。為了方便管理，直接把瀏覽器ip綁死到一個session，就是用瀏覽器ip地址代替了sessionid。這個方案裡沒有cookie，但還算是session，應為他沒脫出session的定義。

每次向伺服器發出請求的時候，本地瀏覽器會把cookie附帶在請求資訊中
實際上和session完全沒有關係，說的只是http協議裡cookie的工作方式。這個cookie是session_start()函數寫的，我們也完全可以自己任意寫cookie，只要寫了，並且沒超過有效期間，瀏覽器都能送。

以上就介紹了PHP版本--HTTP session cookie原理及應用，包括了方面的內容，希望對PHP教程有興趣的朋友有所協助。

