使用PHP會話(Session)實現用戶登陸功能

　　對比起 CookieSession 是存儲在服務器端的會話相對安全並且不像 Cookie 那樣有存儲長度限制本文簡單介紹 Session 的使用

由於 Session 是以文本文件形式存儲在服務器端的所以不怕客戶端修改 Session 內容實際上在服務器端的 Session 文件PHP 自動修改 Session 文件的權限只保留了系統讀和寫權限而且不能通過 ftp 修改所以安全得多

對 於 Cookie 來說假設我們要驗證用戶是否登陸就必須在 Cookie 中保存用戶名和密碼（可能是 md 加密後字符串）並在每次請求頁面的時候進行驗證如果用戶名和密碼存儲在數據庫每次都要執行一次數據庫查詢給數據庫造成多余的負擔因為我們並不能 只做一次驗證為什麼呢？因為客戶端 Cookie 中的信息是有可能被修改的假如你存儲 $admin 變量來表示用戶是否登陸$admin 為 true 的時候表示登陸為 false 的時候表示未登錄在第一次通過驗證後將 $admin 等於 true 存儲在 Cookie下次就不用驗證了這樣對麼？錯了假如有人偽造一個值為 true 的 $admin 變量那不是就立即取的了管理權限麼？非常的不安全

而 Session 就不同了Session 是存儲在服務器端的遠程用戶沒辦法修改 Session 文件的內容因此我們可以單純存儲一個 $admin 變量來判斷是否登陸首次驗證通過後設置 $admin 值為 true以後判斷該值是否為 true假如不是轉入登陸界面這樣就可以減少很多數據庫操作了而且可以減少每次為了驗證 Cookie 而傳遞密碼的不安全性了（Session 驗證只需要傳遞一次假如你沒有使用 SSL 安全協議的話）即使密碼進行了 md 加密也是很容易被截獲的

當然使用 Session 還有很多優點比如控制容易可以按照用戶自定義存儲等（存儲於數據庫）我這裡就不多說了

Session 在 phpini 是否需要設置呢？一般不需要的因為並不是每個人都有修改 phpini 的權限默認 Session 的存放路徑是服務器的系統臨時文件夾我們可以自定義存放在自己的文件夾裡這個稍後我會介紹

開始介紹如何創建 Session非常簡單真的
啟動 Session 會話並創建一個 $admin 變量
復制代碼 代碼如下:
<?php
// 啟動 Session
session_start();
// 聲明一個名為 admin 的變量並賦空值
$_SESSION["admin"] = null;
?>
如果你使用了 Seesion或者該 PHP 文件要調用 Session 變量那麼就必須在調用 Session 之前啟動它使用 session_start() 函數其它都不需要你設置了PHP 自動完成 Session 文件的創建
執行完這個程序後我們可以到系統臨時文件夾找到這個 Session 文件一般文件名形如sess_cbbdbfcfec後面是 位編碼後的隨機字符串用編輯器打開它看一下它的內容
復制代碼 代碼如下:
admin|N;
一般該內容是這樣的結構
復制代碼 代碼如下:
變量名|類型:長度:值;
並用分號隔開每個變量有些是可以省略的比如長度和類型
我們來看一下驗證程序假設數據庫存儲的是用戶名和 md 加密後的密碼
loginphp
復制代碼 代碼如下:
<?php
// 表單提交後
$posts = $_POST;
// 清除一些空白符號
foreach ($posts as $key => $value) {
$posts[$key] = trim($value);
}
$password = md($posts["password"]);
$username = $posts["username"];
$query = "SELECT `username` FROM `user` WHERE `password` = $password AND `username` = $username";
// 取得查詢結果
$userInfo = $DB>getRow($query);
if (!empty($userInfo)) {
// 當驗證通過後啟動 Session
session_start();
// 注冊登陸成功的 admin 變量並賦值 true
$_SESSION["admin"] = true;
} else {
die("用戶名密碼錯誤");
}
?>
我們在需要用戶驗證的頁面啟動 Session判斷是否登陸
復制代碼 代碼如下:
<?php
// 防止全局變量造成安全隱患
$admin = false;
// 啟動會話這步必不可少
session_start();
// 判斷是否登陸
if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) {
echo "您已經成功登陸";
} else {
// 驗證失敗將 $_SESSION["admin"] 置為 false
$_SESSION["admin"] = false;
die("您無權訪問");
}
?>
是不是很簡單呢？將 $_SESSION 看成是存儲在服務器端的數組即可我們注冊的每一個變量都是數組的鍵跟使用數組沒有什麼分別
如果要登出系統怎麼辦？銷毀 Session 即可
復制代碼 代碼如下:
<?php
session_start();
// 這種方法是將原來注冊的某個變量銷毀
unset($_SESSION[admin]);
// 這種方法是銷毀整個 Session 文件
session_destroy();
?>
Session 能否像 Cookie 那樣設置生存周期呢？有了 Session 是否就完全拋棄 Cookie 呢？我想說結合 Cookie 來使用 Session 才是最方便的

Session 是如何來判斷客戶端用戶的呢？它是通過 Session ID 來判斷的什麼是 Session ID就是那個 Session 文件的文件名Session ID 是隨機生成的因此能保證唯一性和隨機性確保 Session 的安全一般如果沒有設置 Session 的生存周期則 Session ID 存儲在內存中關閉浏覽器後該 ID 自動注銷重新請求該頁面後重新注冊一個 Session ID

如果客戶端沒有禁用 Cookie則 Cookie 在啟動 Session 會話的時候扮演的是存儲 Session ID 和 Session 生存期的角色
我們來手動設置 Session 的生存期
復制代碼 代碼如下:
<?php
session_start();
// 保存一天
$lifeTime = * ;
setcookie(session_name() session_id() time() + $lifeTime "/");
?>
其實 Session 還提供了一個函數 session_set_cookie_params(); 來設置 Session 的生存期的該函數必須在 session_start() 函數調用之前調用
復制代碼 代碼如下:
<?php
// 保存一天
$lifeTime = * ;
session_set_cookie_params($lifeTime);
session_start();
$_SESSION["admin"] = true;
?>
如果客戶端使用 IE session_set_cookie_params(); 函數設置 Cookie 會有些問題所以我們還是手動調用 setcookie 函數來創建 cookie

假 設客戶端禁用 Cookie 怎麼辦？沒辦法所有生存周期都是浏覽器進程了只要關閉浏覽器再次請求頁面又得重新注冊 Session那麼怎麼傳遞 Session ID 呢？通過 URL 或者通過隱藏表單來傳遞PHP 會自動將 Session ID 發送到 URL 上URL 形如其中 URL 中的參數 PHPSESSID 就是 Session ID了我們可以使用 $_GET 來獲取該值從而實現 Session ID 頁面間傳遞
復制代碼 代碼如下:
<?php
// 保存一天
$lifeTime = * ;
// 取得當前 Session 名默認為 PHPSESSID
$sessionName = session_name();
// 取得 Session ID
$sessionID = $_GET[$sessionName];
// 使用 session_id() 設置獲得的 Session ID
session_id($sessionID);
session_set_cookie_params($lifeTime);
session_start();
$_SESSION[admin] = true;
?>
對 於虛擬主機來說如果所有用戶的 Session 都保存在系統臨時文件夾裡將給維護造成困難而且降低了安全性我們可以手動設置 Session 文件的保存路徑session_save_path() 就提供了這樣一個功能我們可以將 Session 存放目錄指向一個不能通過 Web 方式訪問的文件夾當然該文件夾必須具備可讀寫屬性
復制代碼 代碼如下:
<?php
// 設置一個存放目錄
$savePath = /session_save_dir/;
// 保存一天
$lifeTime = * ;
session_save_path($savePath);
session_set_cookie_params($lifeTime);
session_start();
$_SESSION[admin] = true;
?>
同 session_set_cookie_params(); 函數一樣session_save_path() 函數也必須在 session_start() 函數調用之前調用
我們還可以將數組對象存儲在 Session 中操作數組和操作一般變量沒有什麼區別而保存對象的話PHP 會自動對對象進行序列化（也叫串行化）然後保存於 Session 中下面例子說明了這一點
personphp
復制代碼 代碼如下:
<?php
class person {
var $age;
function output() {
echo $this>age;
}
function setAge($age) {
$this>age = $age;
}
}
?>
setagephp
復制代碼 代碼如下:
<?php
session_start();
require_once personphp;
$person = new person();
$person>setAge();
$_SESSION[person] = $person;
echo <a >check here to output age</a>;
?>
outputphp
復制代碼 代碼如下:
<?php
// 設置回調函數確保重新構建對象
ini_set(unserialize_callback_func mycallback);
function mycallback($classname) {
include_once $classname php;
}
session_start();
$person = $_SESSION[person];
// 輸出
$person>output();
?>
當 我們執行 setagephp 文件的時候調用了 setage() 方法設置了年齡為 並將該狀態序列化後保存在 Session 中（PHP 將自動完成這一轉換）當轉到 outputphp 後要輸出這個值就必須反序列化剛才保存的對象又因為在解序列化的時候需要實例化一個未定義類所以我們定義了以後回調函數自動包含 personphp 這個類文件因此對象被重構並取得當前 age 的值為 然後調用 output() 方法輸出該值
另外我們還可以使用 session_set_save_handler 函數來自定義 Session 的調用方式

 
From:http://tw.wingwit.com/Article/program/PHP/201311/20964.html