session與PHP之session_start()

官方手冊：http://www.php.net/session_start

Web中的Session指的就是用戶在瀏覽某個網站時，從進入網站到瀏覽器關閉所通過的這段時間，也就是用戶瀏覽這個網站所花費的時間。所以從上述的定義中咱們能夠看到，Session其實是一個特定的時間概念。

須要注意的是，一個Session的概念須要包括特定的客戶端，特定的服務器端以及不中斷的操做時間。A用戶和C服務器創建鏈接時所處的Session同B用戶和C服務器創建鏈接時所處的Session是兩個不一樣的Session。

session的工做原理

（1）當一個session第一次被啓用時，一個惟一的標識被存儲於本地的cookie中。

（2）首先使用session_start()函數，PHP從session倉庫中加載已經存儲的session變量。

（3）當執行PHP腳本時，經過使用session_register()函數註冊session變量。

（4）當PHP腳本執行結束時，未被銷燬的session變量會被自動保存在本地必定路徑下的session庫中， 這個路徑能夠經過php.ini文件中的session.save_path指定，下次瀏覽網頁時能夠加載使用。

session存儲在服務器端，默認狀況下，php.ini 中設置的 SESSION 保存方式是 files（session.save_handler = files），即便用讀寫文件的方式保存 SESSION 數據，而 SESSION 文件保存的目錄由 session.save_path 指定，文件名以 sess_ 爲前綴，後跟 SESSION ID，如：sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的數據便是序列化以後的 SESSION 數據了。

若是訪問量大，可能產生的 SESSION 文件會比較多，這時能夠設置分級目錄進行 SESSION 文件的保存，效率會提升不少，設置方法爲：session.save_path="N;/save_path"，N 爲分級的級數，save_path 爲開始目錄。

當寫入 SESSION 數據的時候，PHP 會獲取到客戶端的 SESSION_ID，而後根據這個 SESSION ID 到指定的 SESSION 文件保存目錄中找到相應的 SESSION 文件，不存在則建立之，最後將數據序列化以後寫入文件。讀取 SESSION 數據是php中的Session與Cookie

在PHP開發中對比起Cookie，session 是存儲在服務器端的會話，相對安全，而且不像 Cookie 那樣有存儲長度限制，本文簡單介紹 session 的使用。

因爲 Session 是以文本文件形式存儲在服務器端的，因此不怕客戶端修改 Session 內容。實際上在服務器端的 Session 文件，PHP 自動修改 session 文件的權限，只保留了系統讀和寫權限，並且不能經過 ftp 修改，因此安全得多。

對於 Cookie 來講，假設咱們要驗證用戶是否登錄，就必須在 Cookie 中保存用戶名和密碼(多是 md5 加密後字符串)，並在每次請求頁面的時候進行驗證。若是用戶名和密碼存儲在數據庫，每次都要執行一次數據庫查詢，給數據庫形成多餘的負擔。由於咱們並不能只作一次驗證。爲何呢?由於客戶端 Cookie 中的信息是有可能被修改的。假如你存儲 $admin 變量來表示用戶是否登錄，$admin 爲 true 的時候表示登錄，爲 false 的時候表示未登陸，在第一次經過驗證後將 $admin 等於 true 存儲在 Cookie，下次就不用驗證了，這樣對麼?錯了，假若有人僞造一個值爲 true 的 $admin 變量那不是就當即取的了管理權限麼?很是的不安全。

而 Session 就不一樣了，Session 是存儲在服務器端的，遠程用戶沒辦法修改 session 文件的內容，所以咱們能夠單純存儲一個 $admin 變量來判斷是否登錄，首次驗證經過後設置 $admin 值爲 true，之後判斷該值是否爲 true，假如不是，轉入登錄界面，這樣就能夠減小不少數據庫操做

固然使用 session 還有不少優勢，好比控制容易，能夠按照用戶自定義存儲等(存儲於數據庫)。我這裏就很少說了。也是相似的操做流程，對讀出來的數據須要進行解序列化，生成相應的 SESSION 變量。了。並且能夠減小每次爲了驗證 Cookie 而傳遞密碼的不安全性了(session 驗證只須要傳遞一次，假如你沒有使用 SSL 安全協議的話)。即便密碼進行了 md5 加密，也是很容易被截獲的

用$_SESION以前必需要session_start()----其中之一的功能,$_SESSION是服務器端的cookie，至關一個大數組(瀏覽器關閉前，和session銷燬前)$_SESSION中的數據能夠一直用(除了從新賦值)。 $_SESSION 比如一個數組 $_SESSION['name'] = 'caocao' 這比如在數組中加了一個元素，至關於$_SESSION = array("name"=>"caocao") 使用的時候 還要使用$_SESSION['name'] 才能獲得'caocao'。

 

 

session_start();
告訴服務器使用session。通常來講，php是不會主動使用session的。
不過能夠設置php.ini中的session.auto_start=1來自動對每一個請求使用。
而用了session_start()，或者自動開啓session，
服務器會根據請求頭部傳來的cookie中或url中的PHPSESSID來確認此sessionid對應的$_SESSION數組。

 

thinkphp中不用進行session_start(),由於thinkPHP對其有進行封裝，待仔細驗證。