PHP session使用經驗彙總[轉載]

什麼是session

Session 的中文譯名叫作「會話」，其原本的含義是指善始善終的一系列動做/消息，好比打電話時從拿起電話撥號到掛斷電話這中間的一系列過程能夠稱之爲一個 session。目前社會上對 session 的理解很是混亂：有時候咱們能夠看到這樣的話「在一個瀏覽器會話期間，...」，這裏的會話是指從一個瀏覽器窗口打開到關閉這個期間； 也能夠看到「用戶（客戶端）在一次會話期間」這樣一句話，它可能指用戶的一系列動做（通常狀況下是同某個具體目的相關的一系列動做，好比從登陸到選購商品到結帳登出這樣一個網上購物的過程；然而有時候也可能僅僅是指一次鏈接；其中的差異只能靠上下文來推斷了。

然而當 session 一詞與網絡協議相關聯時，它又每每隱含了「面向鏈接」和/或「保持狀態」這樣兩個含義，「面向鏈接」指的是在通訊雙方在通訊以前要先創建一個通訊的渠道，好比打電話，直到對方接了電話通訊才能開始。「保持狀態」則是指通訊的一方可以把一系列的消息關聯起來，使得消息之間能夠互相依賴，好比一個服務員可以認出再次光臨的老顧客而且記得上次這個顧客還欠店裏一塊錢。這一類的例子有「 一個TCP session 」或者「一個 POP3 session」。

鑑於這種混亂已不可改變，要爲 session 下個定義就很難有統一的標準。而在閱讀 session 相關資料時，咱們也只有靠上下文來推斷理解了。不過咱們能夠這樣理解：例如咱們打電話，從撥通的那一刻起到掛斷電話期間，由於電話一直保持着接通的狀態，因此把這種接通的狀態叫作 session。它是訪客與整個網站交互過程當中一直存在的公有變量，在客戶端不支持 COOKIE 的時候，爲了保證數據正確、安全，就採用 SESSION 變量。訪問網站的來客會被分配一個惟一的標識符，即所謂的會話 ID。它要麼存放在客戶端的 cookie，要麼經由 URL 傳遞。

SESSION 的發明填補了 HTTP 協議的侷限：HTTP協議被認爲是無狀態協議，沒法得知用戶的瀏覽狀態，當它在服務端完成響應以後，服務器就失去了與該瀏覽器的聯繫。這與HTTP協議原本的目的是相符的，客戶端只須要簡單的向服務器請求下載某些文件，不管是客戶端仍是服務器都沒有必要紀錄彼此過去的行爲，每一次請求之間都是獨立的，比如一個顧客和一個自動售貨機或者一個普通的（非會員制）大賣場之間的關係同樣。

所以經過SESSION(cookie是另一種解決辦法)記錄用戶的有關信息，以供用戶再次以此身份對web服務器提起請求時做確認。會話的發明使得一個用戶在多個頁面間切換時可以保存他的信息。網站編程人員都有這樣的體會，每一頁中的變量是不能在下一頁中使用的(雖然form，url也能夠實現，但這都是很是不理想的辦法)，而SESSION中註冊的變量就能夠做爲全局變量使用了。

那麼 SESSION 到底有什麼用處呢？網上購物時你們都用過購物車，你能夠隨時把你選購的商品加入到購物車中，最後再去收銀臺結賬。在整個過程當中購物車一直扮演着臨時存貯被選商品的角色，用它追蹤用戶在網站上的活動狀況，這就是 SESSION 的做用，它能夠用於用戶身份認證，程序狀態記錄，頁面之間參數傳遞等。

SESSION 的實現中採用 COOKIE 技術，SESSION 會在客戶端保存一個包含 session_id(SESSION編號)的 COOKIE；在服務器端保存其餘 session 變量，好比 session_name 等等。當用戶請求服務器時也把 session_id 一塊兒發送到服務器，經過 session_id 提取所保存在服務器端的變量，就能識別用戶是誰了。同時也不難理解爲何 SESSION 有時會失效了。

當客戶端禁用 COOKIE 時(點擊IE中的「工具」—「Internet選項」，在彈出的對話框裏點擊「安全」—「自定義級別」項，將「容許每一個對話COOKIE」設爲禁用)，session_id 將沒法傳遞，此時 SESSION 失效。不過 php5 在 linux/unix 平臺能夠自動檢查 cookie 狀態，若是客戶端設置了禁用，則系統自動把 session_id 附加到 url 上傳遞。windows 主機則無此功能。

Session常見函數及用法

Session_start()：開始一個會話或者返回已經存在的會話。

說明：這個函數沒有參數，且返回值均爲true。若是你使用基於cookie的session(cookie-based sessions)，那麼在使用Session_start()以前瀏覽器不能有任何輸出，不然會發生如下錯誤：

Warning: Cannot send session cache limiter - headers already sent 
(output started at /usr/local/apache/htdocs/cga/member/1.php:2)…………

你能夠在 php.ini 裏啓動 session.auto_start=1，這樣就無需每次使用 session 以前都要調用 session_start()。但啓用該選項也有一些限制，若是確實啓用了 session.auto_start，則不能將對象放入會話中，由於類定義必須在啓動會話以前加載以在會話中重建對象。

請求結束後全部註冊的變量都會被序列化。已註冊但未定義的變量被標記爲未定義。在以後的訪問中這些變量也未被會話模塊定義，除非用戶之後定義它們。

警告：有些類型的數據不能被序列化所以也就不能保存在會話中。包括 resource 變量或者有循環引用的對象（即某對象將一個指向本身的引用傳遞給另外一個對象）。

註冊SESSION變量：

PHP5使用$_SESSION[‘xxx’]=xxx註冊SESSION全局變量。和GET，POST，COOKIE的使用方法類似。

注意：session_register()，session_unregister ，session_is_registered在 php5 下再也不使用，除非在 php.ini 裏把register_globle 設爲 on，不過出於安全考慮，強烈建議關閉 register_globle。HTTP_SESSION_VARS 也不提倡使用了，官方建議用 $_SESSION 代替之。例如：

Page1.php

<?php
Session_start();       //使用SESSION前必須調用該函數。
$_SESSION['name']="NowaMagic";   //註冊一個SESSION變量
$_SESSION['passwd']="hellomagic";
$_SESSION['time']=time();
echo '<br><a href="page2.php">經過COOKIE傳遞SESSION</a>';   //若是客戶端支持cookie，可經過該連接傳遞session到下一頁。
echo '<br><a href="page2.php?' . SID . '">經過URL傳遞SESSION</a>';//客戶端不支持cookie時，使用該辦法傳遞session.
?>

Page2.php

<?php
session_start();
echo $_SESSION['name']; //
echo $_SESSION['passwd'];   //
echo date('Y m d H:i:s', $_SESSION['time']);
echo '<br><a href="page1.php">返回山一頁</a>';
?>

有兩種方法傳遞一個會話 ID：

一個是cookie，另外一個是 URL 參數。

會話模塊支持這兩種方法。cookie 更優化，但因爲不老是可用，也提供替代的方法。第二種方法直接將會話 ID 嵌入到 URL 中間去。 PHP 能夠透明地轉換鏈接。除非是使用 PHP 4.2 或更新版本，須要手工在編譯 PHP 時激活。在 Unix 下，用 --enable-trans-sid 配置選項。若是此配置選項和運行時選項 session.use_trans_sid 都被激活(修改php.ini)，相對 URI 將被自動修改成包含會話 ID。

• session_id

session_id() 用於設定或取得當前 session_id。php5 中既可使用 session_id()，也能夠經過附加在 url 上的 SID 取得當前會話的 session_id 和 session_name。

若是 session_id() 有具體指定值的話，將取代當前的 session_id 值。使用該函數前必須啓動會話：session_start();

當咱們使用 session cookies 時，若是指定了一個 session_id() 值，每次啓動 session_start() 都會往客戶端發送一個cookie 值。不論當前 session_id 是否與指定值相等。

session_id() 若是沒有指定值，則返回當前 session_id();當前會話沒有啓動的話，則返回空字符串。

• 檢查 session 是否存在

在以往的 php 版本中一般使用 session_is_register() 檢查 session 是否存在，若是您使用 $_SESSION['XXX']=XXX 來註冊會話變量，則 session_is_register() 函數再也不起做用。你可使用 isset($_SESSION['xxx']) 來替代。

• 更改 session_id

session_regenerate_id() 更改爲功則返回 true，失敗則返回 false。 使用該函數能夠爲當前 session 更改 session_id，但不改變當前 session 的其餘信息。例如：

<?php
session_start();
$old_sessionid = session_id();
session_regenerate_id();
$new_sessionid = session_id();
echo "原始 SessionID: $old_sessionid<br>";
echo "新的 SessionID: $new_sessionid<br>";
echo"<pre>";
print_r($_SESSION);
echo"</pre>";
?>

• session_name()

返回當前 session 的 name 或改變當前 session 的 name。若是要改變當前 session 的 name，必須在 session_start() 以前調用該函數。注意：session_name 不能只由數字組成，它至少包含一個字母。不然會在每時每刻都生成一個新的 session id。session 更名示例：

<?php
	$previous_name = session_name("WebsiteID");
	echo "新的session名爲： $previous_name";
?>

• 如何刪除session

unset ($_SESSION['xxx']) 刪除單個 session，unset($_SESSION['xxx']) 用來 unregister 一個已註冊的 session 變量。其做用和 session_unregister() 相同。session_unregister() 在 PHP5 中再也不使用，可將之打入冷宮。 unset($_SESSION) 此函數千萬不可以使用，它會將全局變量 $_SESSION 銷燬，並且尚未可行的辦法將其恢復。用戶也再也不能夠註冊 $_SESSION 變量。

$_SESSION=array() 刪除多個 session

session_destroy() 結束當前的會話，並清空會話中的全部資源。該函數不會 unset (釋放)和當前 session 相關的全局變量(globalvariables)，也不會刪除客戶端的 session cookie。PHP 默認的 session 是基於 cookie 的，若是要刪除 cookie 的話，必須藉助 setcookie() 函數。返回值：布爾值。功能說明：這個函數結束當前的 session，此函數沒有參數，且返回值均爲 true。

session_unset() 若是使用了 $_SESSION，則該函數再也不起做用。因爲 PHP5 一定要使用 $_SESSION，因此此函數能夠打入冷宮了。

下面是 PHP 官方關於刪除 session 的案例：

<?php
	// 初始化session.
	session_start();
	/*** 刪除全部的session變量..也可用unset($_SESSION[xxx])逐個刪除。****/
	$_SESSION = array();
	/***刪除sessin id.因爲session默認是基於cookie的，因此使用setcookie刪除包含session id的cookie.***/
	if (isset($_COOKIE[session_name()])) 
	{
   		setcookie(session_name(), '', time()-42000, '/');
	}
	// 最後完全銷燬session.
	session_destroy();
?>

由此咱們能夠得出刪除Session的步驟：

1. session_start();

2. $_SESSION=array()/unset($_SESSION['xxx'])

3. session_destroy()

SESSION安全:

會話模塊不能保證存放在會話中的信息只能被建立該會話的用戶看到。根據其存放的數據，還須要採起更多措施來主動保護會話的完整性。

評估會話中攜帶的數據並實施附加保護措施一般要付出代價，下降用戶的方便程度。例如，若是要保護用戶免於受簡單的社交策略侵害（注：指在 URL 中顯示的會話 ID 會被別人在電腦屏幕上看到，或被別的網站經過 HTTP Referer 獲得等），則應該啓用 session.use_only_cookies。此情形下，客戶端必須無條件啓用 cookie，不然會話就不工做。

有幾種途徑會將現有的會話 ID 泄露給第三方。泄露出的會話 ID 使第三方可以訪問全部與指定 ID 相關聯的資源。第一，URL 攜帶會話 ID。若是鏈接到外部站點，包含有會話 ID 的 URL 可能會被存在外部站點的 Referer 日誌中。第二，較主動的攻擊者可能會偵聽網段的數據包。若是未加密，會話 ID 會以明文方式在網絡中流過。對此的解決方式是在服務器上實施 SSL 並強制用戶使用。

默認狀況下，全部與特定會話相關的數據都被存儲在由 INI 選項 session.save_path 指定的目錄下的一個文件中。對每一個會話會創建一個文件（不管是否有數據與該會話相關）。這是因爲每打開一個會話即創建一個文件，不管是否有數據寫入到該文件中。注意因爲和文件系統協同工做的限制，此行爲有個反作用，有可能形成用戶定製的會話處理器（例如用數據庫）丟失了未存儲數據的會話。

上面介紹函數下文將會用到，但還有一些有關session的函數也介紹一下：

session_encode
函數功能：sesssion信息編碼
函數原型：string session_encode(void);
返回值：字符串
功能說明：返回的字符串中包含全局變量中各變量的名稱與值，形式如：
a|s:12:"it is a test";c|s:4:"lala"; 
a是變量名 s:12表明變量a的值"it is a test的長度是12 變量間用分號」;」分隔。

PHP5 再也不使用 session_id，而是把它變成一個常量 SID，並保存在 cookie 中。若是客戶端禁用了 cookie，php 會自動經過 url 自動傳動傳遞 SID，其條件是設置 php.ini 中的 session.use_trans_sid = 1。此時即便客戶端即便禁用了 cookie 也不要緊了。用 strip_tags() 來輸出 SID 以免 XSS 相關的攻擊。

Session跨頁傳遞問題：

session跨頁傳遞須要考慮三種狀況：

1. 客戶端禁用了cookie。

2. 瀏覽器出現問題，暫時沒法存取cookie

3. php.ini 中的 session.use_trans_sid = 0 或者編譯時沒有打開 --enable-trans-sid 選項

爲何會這樣呢？下面解釋一下緣由：

Session 文件分爲兩部分：session 變量保存在服務器端（默認以文件方式存儲 session）；而 session id 則以 cookie 形式保存在客戶端。(注意：session 默認是基於 cookie 的)。

當用戶的瀏覽器向服務器提出請求時，同時發送包含 session id 的 cookie（默認狀況下）。服務器根據客戶端提供的 session id 來獲得用戶的文件，即保存在服務器端的 session 變量值。事實上，session id 可使用客戶端的 Cookie 或者 Http1.1 協議的 Query_String（就是訪問的URL的「?」後面的部分）來傳送給服務器，而後服務器讀取 Session 的目錄。也就是說，session id 是取得存儲在服務上的 session 變量的身份證。當代碼 session_start(); 運行的時候，就在服務器上產生了一個 session 文件，隨之也產生了與之惟一對應的一個 session id，定義 session 變量以必定形式存儲在剛纔產生的 session 文件中。經過 session id，能夠取出定義的變量。跨頁後，爲了使用 session，你必須又執行 session_start();將又會產生一個 session 文件，與之對應產生相應的 session id，用這個 session id 是取不出前面提到的第一個 session 文件中的變量的，由於這個session id 不是打開它的「鑰匙」。若是在 session_start(); 以前加代碼 session_id($session id);將不產生新的 session 文件，直接讀取與這個 id對應的 session 文件。

PHP 中的 session 在默認狀況下是使用客戶端的 Cookie 來保存 session id 的，因此當客戶端的 cookie 出現問題的時候就會影響session 了。必須注意的是：session 不必定必須依賴 cookie，這也是 session 相比 cookie 的高明之處。當客戶端的 Cookie 被禁用或出現問題時，PHP 會自動把 session id 附着在 URL 中，這樣再經過 session id 就能跨頁使用 session 變量了。但這種附着也是有必定條件的，其一：「php.ini中的session.use_trans_sid = 1 或者編譯時打開打開了 --enable-trans-sid 選項」；其二：運行 PHP 的服務器必須是 unix/linux 系統，windows 不具有此項功能。

明白了以上的道理，咱們就能夠得出解決session跨頁傳遞問題的三條途徑：

1. 設置 php.ini 中的 session.use_trans_sid = 1 或者編譯時打開打開了 --enable-trans-sid 選項，讓 PHP 自動跨頁傳遞 session id。

2. 手動經過 URL 傳值、隱藏表單傳遞 session id。

3. 用文件、數據庫等形式保存 session_id，在跨頁過程當中手動調用。

下面舉例說明：

第一種狀況：

page1.php

<?php
session_start();
$_SESSION['var1']="中華人民共和國";
$url="<a href="."\"s2.php\">下一頁</a>";
echo $url;
?>

page2.php

<?php
session_start();
echo "傳遞的session變量var1的值爲：".$_SESSION['var1'];
?>

運行以上代碼，在客戶端cookie正常的狀況下，應該能夠在獲得結果「中華人民共和國」。

如今你手動關閉客戶端的cookie，再運行，可能得不到結果了吧。若是得不到結果，再「設置php.ini中的session.use_trans_sid = 1或者編譯時打開打開了--enable-trans-sid選項」，又獲得結果「中華人民共和國」。

第二種途徑：

s1.php

<?php
	session_start();
	$_SESSION['var1']="中華人民共和國";
	$sn = session_id();
	//PHP5定義了一個常量SID來表示session_id()，$url還能夠寫成$url='<a href="page2.php?' . SID . '">下一頁</a>';
	$url="<a href="."\"s2.php?s=".$sn."\">下一頁</a>";    
	echo $url;
?>

s2.php

<?php
session_id($_GET['s']);
session_start();
echo "傳遞的session變量var1的值爲：".$_SESSION['var1'];
?>

第三種途徑：