session與PHP之session_start()

標籤：比較   驗證   訪問量   自訂   頭部   瀏覽器   限制   寫檔案   許可權   

官方手冊：http://www.php.net/session_start

Web中的Session指的就是使用者在瀏覽某個網站時，從進入網站到瀏覽器關閉所經過的這段時間，也就是使用者瀏覽這個網站所花費的時間。因此從上述的定義中我們可以看到，Session實際上是一個特定的時間概念。需要注意的是，一個Session的概念需要包括特定的用戶端，特定的伺服器端以及不中斷的操作時間。A使用者和C伺服器建立串連時所處的Session同B使用者和C伺服器建立串連時所處的Session是兩個不同的Session。session的工作原理（1）當一個session第一次被啟用時，一個唯一的標識被儲存於本地的cookie中。（2）首先使用session_start()函數，PHP從session倉庫中載入已經儲存的session變數。（3）當執行PHP指令碼時，通過使用session_register()函數註冊session變數。（4）當PHP指令碼執行結束時，未被銷毀的session變數會被自動儲存在本地一定路徑下的session庫中， 這個路徑可以通過php.ini檔案中的session.save_path指定，下次瀏覽網頁時可以載入使用。session儲存在伺服器端，預設情況下，php.ini 中設定的 SESSION 儲存方式是 files（session.save_handler = files），即使用讀寫檔案的方式儲存 SESSION 資料，而 SESSION 檔案儲存的目錄由 session.save_path 指定，檔案名稱以 sess_ 為首碼，後跟 SESSION ID，如：sess_c72665af28a8b14c0fe11afe3b59b51b。檔案中的資料即是序列化之後的 SESSION 資料了。如果訪問量大，可能產生的 SESSION 檔案會比較多，這時可以設定分級目錄進行 SESSION 檔案的儲存，效率會提高很多，設定方法為：session.save_path="N;/save_path"，N 為分級的級數，save_path 為開始目錄。當寫入 SESSION 資料的時候，PHP 會擷取到用戶端的 SESSION_ID，然後根據這個 SESSION ID 到指定的 SESSION 檔案儲存目錄中找到相應的 SESSION 檔案，不存在則建立之，最後將資料序列化之後寫入檔案。讀取 SESSION 資料是php中的Session與Cookie在PHP開發中對比起Cookie，session 是儲存在伺服器端的會話，相對安全，並且不像 Cookie 那樣有儲存長度限制，本文簡單介紹 session 的使用。由於 Session 是以文字檔形式儲存在伺服器端的，所以不怕用戶端修改 Session 內容。實際上在伺服器端的 Session 檔案，PHP 自動修改 session 檔案的許可權，只保留了系統讀和寫入權限，而且不能通過 ftp 修改，所以安全得多。對於 Cookie 來說，假設我們要驗證使用者是否登陸，就必須在 Cookie 中儲存使用者名稱和密碼(可能是 md5 加密後字串)，並在每次請求頁面的時候進行驗證。如果使用者名稱和密碼儲存在資料庫，每次都要執行一次資料庫查詢，給資料庫造成多餘的負擔。因為我們並不能只做一次驗證。為什麼呢?因為用戶端 Cookie 中的資訊是有可能被修改的。假如你儲存 $admin 變數來表示使用者是否登陸，$admin 為 true 的時候表示登陸，為 false 的時候表示未登入，在第一次通過驗證後將 $admin 等於 true 儲存在 Cookie，下次就不用驗證了，這樣對麼?錯了，假如有人偽造一個值為 true 的 $admin 變數那不是就立即取的了系統管理權限麼?非常的不安全。而 Session 就不同了，Session 是儲存在伺服器端的，遠端使用者沒辦法修改 session 檔案的內容，因此我們可以單純儲存一個 $admin 變數來判斷是否登陸，首次驗證通過後設定 $admin 值為 true，以後判斷該值是否為 true，假如不是，轉入登陸介面，這樣就可以減少很多資料庫操作當然使用 session 還有很多優點，比如控制容易，可以按照使用者自訂儲存等(儲存於資料庫)。我這裡就不多說了。也是類似的操作流程，對讀出來的資料需要進行解序列化，產生相應的 SESSION 變數。了。而且可以減少每次為了驗證 Cookie 而傳遞密碼的不安全性了(session 驗證只需要傳遞一次，假如你沒有使用 SSL 安全性通訊協定的話)。即使密碼進行了 md5 加密，也是很容易被截獲的用$_SESION之前必須要session_start()----其中之一的功能,$_SESSION是伺服器端的cookie，相當一個大數組(瀏覽器關閉前，和session銷毀前)$_SESSION中的資料可以一直用(除了重新賦值)。 $_SESSION 好比一個數組 $_SESSION[‘name‘] = ‘caocao‘ 這好比在數組中加了一個元素，相當於$_SESSION = array("name"=>"caocao") 使用的時候 還要使用$_SESSION[‘name‘] 才能得到‘caocao‘。  session_start();
告訴伺服器使用session。一般來說，php是不會主動使用session的。
不過可以設定php.ini中的session.auto_start=1來自動對每個請求使用。
而用了session_start()，或者自動開啟session，
伺服器會根據要求標頭部傳來的cookie中或url中的PHPSESSID來確認此sessionid對應的$_SESSION數組。 thinkphp中不用進行session_start(),因為thinkPHP對其有進行封裝，待仔細驗證。

session與PHP之session_start()