php cookie与session

一. cookie

1.  什么是cookie

   某些网站为了辨别用户身份、由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。无论何时用户链接到服务器,Web 站点都可以访问 Cookie 信息

2. cookie保存哪里

     保存在浏览器(客户端)

3. 工作原理

      a) 服务器通过随着响应发送一个http 的Set-Cookie 头,在客户机中设置一个cookie(多个cookie要多个头)。 
      b) 客户端自动向服务器端发送一个http 的cookie 头,服务器接收读取

4. 优点

     减轻服务器压力(保存在客户端,要跟踪这个用户,,这个用户的信息,保存在浏览器,,缓存文件。。对应一个网站)

     根据要求保存时间,更改状态

5. 缺点

      伪cookie,伪照,浏览器禁用了,会失效

6. 设置cookie

    1. setcookie()或setrawcookie()函数设置cookie

        bool setcookie ( string name [, string value [, int expire [, string path [, string domain [, bool secure [, bool 
httponly]]]]]] ) 
        SetCookie(名字,值,有效期,有效路径,有效域名,加密的HTTPS协议);
        有效期: 以'秒'为单位   如:time()+3600就是表示一小时后失效 也可以通过mk_time()
        保存目录:限制保存到一个目录  ,默认是当前目录,在另外一目录下没有作用
        域名:.php100.com 泛解析   bbs.php100.com也有用
        secure 如果值为 1,则cookie 只能在https 连接上有效,如果为默认值 0,则http 和 https 都可以。 
        除了'名字',其他参数都是可选的, '值','有效路径','有效域名'可以用空字符替代,'有效期','加密的HTTPS协议'用0表示

    2. 使用 header()设置cookie; 

       header("Set-Cookie: name=$value[;path=$path[;domain=xxx.com[;...]]"); 

7. 获取cookie

   echo $_COOKIE["user"];
   echo $HTTP_COOKIE_VARS['user'];

8. 注销cookie

   1. 调用只带有name的SetCookie: SetCookie('name')
   2. 设置(有效时间小于当前时间)失效时间提前:SetCookie('name','',time()-1)
       当一个COOKIE删除时,在当前页仍然有效

9. 注意事项

    a. 在html输出之前,调用COOKIE函数(因为COOKIE属于HTTP协议头的一部分,用于浏览器跟服务器间传递信息)
    b. 不同的浏览器处理结果不一样
    c. 一个浏览器最多创建30个,一个最大4KB(操作混乱)

    d. cookie不是时时生效的,,要再点击一次(php规定),

         解决办法:增加一个跳转页面  echo "<script>location.href='跳转的页面文件'</script>";

    e. 注意:Cookie一定要在其他Header之前发送出去,否则出错!

一. session

1.  什么是session

    简单来说就是服务器给客户端的一个编号。当一台WWW服务器运行时,可能有若干个用户浏览正在运行这台服务器上的网站。当每个用户首次与这台WWW服务器建立连接时,他就与这个服务器建立了一个Session,同时服务器会自动为其分配一个SessionID,用以标识这个用户的唯一身份。

2. session保存哪里

    保存在服务器端

3. 工作原理

    session_start()调用 session,服务器端在生成session 文件时,生成 session ID和默认值为PHPSESSID 的session name.  同时服务务器自动发送了 http头:

header('Set-Cookie:  session_name()=session_id();  path=/'); 即setcookie(session_name(),session_id()); 

创建了一个与SESSION相关联的COOKIE

4. sessionid的传送

     COOKIE传送:  当从该页跳转到的新页面并调用session_start()后,PHP 将检查与给定ID 相关联的服务器端存贮 
                           的session 数据,如果没找到,则新建一个数据集
     URL传送:  只有在用户禁止使用cookie 的时候才用这种方法,因为浏览器cookie 已经通用,为安全起见,可不用该方法。  

                    <a href="p.php?<?php print session_name() ?>=<?php print session_id() ?>">xxx</a>,

                     也可以通过 POST 来传递 session 值。 

4. 优点

      保存在服务器端的, 有专门一个文件保存session,安全性高,保存在服务器端,用户无法修改

5. 缺点

        浏览器关了后,,会注销,不能设置保存时间
每一个用户,生成一个文件,,增大服务器压力

6. session函数

     设置session:

           session_start();

           $_SESSION['test'] = 'TEST';

     获取session:

           session_start();

          echo  $_SESSION['test'];

     注销session:

           session_destroy();

          SetCookie('PHPSESSID','',time()-1);

     bool session_start(void) 初始化 session。 
     bool session_destroy(void) 删除服务器端 session 关联文件。 
     string session_id() 当前session 的id。 
     string session_name() 当前存取的session 名称,也就是客户端保存session ID 的cookie 名称.默 认PHPSESSID。 
     array session_get_cookie_params() 与这个session 相关联的 session 的细节。 
     string session_cache_limiter() 控制使用 session 的页面的客户端缓存。 
     ini session_cache_expire() 控制客户端缓存时间。 
     bool session_destroy() 删除服务器端保存 session 信息的文件。 
     void session_set_cookie_params   (   int   lifetime   [,   string   path   [,   string   domain   [,   bool   secure   [,   bool 
     httponly]]]] ) 设置与这个session 相关联的 session 的细节。 
     bool session_set_save_handler ( callback open, callback close, callback read, callback write, callback 
     destroy, callback gc ) 定义处理session 的函数(不是使用默认的方式)。 

     bool session_regenerate_id([bool delete_old_session]) 分配新的session id 

7. 注意事项

    session_start()  放在头部任何文件输出之前

8. SESSION 安全问题 

    攻击者通过投入很大的精力尝试获得现有用户的有效 session ID,有了session id,他们就有可能 
能够在系统中拥有与此用户相同的能力。 
因此,我们主要解决的思路是效验session ID 的有效性。 
代码片段 
<?php 
  //$_SERVER['REMOTE_ADDR'] #正在浏览当前页面用户的 IP 地址。
  // $_SERVER['HTTP_USER_AGENT'] #当前请求的 User_Agent: 头部的内容。
  if(!isset($_SESSION['user_agent'])){ 
  $_SESSION['user_agent'] = $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']; 
  }elseif ($_SESSION['user_agent'] != $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']) { /* 如果用户 session ID是伪造 */ 
  session_regenerate_id(); 
  } 
?> 

文章来源: php cookie与session

人吐槽 人点赞

猜你喜欢

发表评论

用户名: 密码:
验证码: 匿名发表

你可以使用这些语言

查看评论:php cookie与session