知识大全解析php session

Posted 2022-07-21 文件

篇首语：与天地兮比寿，与日月兮齐光。本文由小常识网(cha138.com)小编为大家整理，主要介绍了知识大全解析php session相关的知识，希望对你有一定的参考价值。

本篇文章是对php中session_set_save_handler 函数的用法(mysql)进行了详细的分析介绍需要的朋友参考下复制代码代码如下: <?php /*============================文件说明======================================== @filename: session class php @description: 数据库保存在线用户session 实现在线用户功能！ @notice: session过期时间一个小时因为我们的站点是使用cookie（有效时间是小时）登录因此我们只记录用户登录的时间而不是刷新一次更新一次删除数据库中session记录的动作发生在用户超时后执行这个文件或正常退出（session_destory） @database: database:sessions field:sessionid(char ) uid(int ) last_visit(int ) ============================================================================= */ class session private $db; private $lasttime= ;//超时时间一个小时 function session(&$db) $this >db = &$db; session_module_name( user ); //session文件保存方式这个是必须的！除非在Php ini文件中设置了 session_set_save_handler( array(&$this open ) //在运行session_start()时执行 array(&$this close ) //在脚本执行完成或调用session_write_close() 或 session_destroy()时被执行即在所有session操作完后被执行 array(&$this read ) //在运行session_start()时执行因为在session_start时会去read当前session数据 array(&$this write ) //此方法在脚本结束和使用session_write_close()强制提交SESSION数据时执行 array(&$this destroy ) //在运行session_destroy()时执行 array(&$this gc ) //执行概率由session gc_probability 和 session gc_divisor的值决定时机是在open read之后 session_start会相继执行open read和gc ); session_start(); //这也是必须的打开session 必须在session_set_save_handler后面执行 function unserializes($data_value) $vars = preg_split( /([a zA Z_x f xff][a zA Z _x f xff]*)|/ $data_value PREG_SPLIT_NO_EMPTY | PREG_SPLIT_DELIM_CAPTURE ); for ($i = ; isset($vars[$i]); $i++) $result[$vars[$i++]] = unserialize($vars[$i]); return $result; function open($path $name) return true; function close() $this >gc($this >lasttime); return true; function read($SessionKey) $sql = "SELECT uid FROM sessions WHERE session_id = " $SessionKey " limit "; $query =$this >db >query($sql); if($row=$this >db >fetch_array($query)) return $row[ uid ]; else return ""; function write($SessionKey $VArray) require_once(MRoot DIR_WS_CLASSES db_mysql_class php ); $db =new DbCom(); // make a connection to the database now $db >connect(DB_SERVER DB_SERVER_USERNAME DB_SERVER_PASSWORD DB_DATABASE); $db >query("set names utf "); $this >db=$db ; $SessionArray = addslashes($VArray); $data=$this >unserializes($VArray); $sql = "SELECT uid FROM sessions WHERE session_id = " $SessionKey " limit "; $query =$this >db >query($sql ); if($this >db >num_rows($query )<= ) if (isset($data[ webid ]) && !empty($data[ webid ])) $this >db >query("insert into `sessions` set `session_id` = $SessionKey uid= " $data[ webid ] " last_visit= " time() " "); return true; else /*$sql = "update `sessions` set "; if(isset($data[ webid ])) $sql = "uid = " $data[ webid ] " " ; $sql ="`last_visit` = null " "where `session_id` = $SessionKey "; $this >db >query($sql); */ return true; function destroy($SessionKey) $this >db >query("delete from `sessions` where `session_id` = $SessionKey "); return true; function gc($lifetime) $this >db >query("delete from `sessions` where unix_timestamp(now()) `last_visit` > " $this >lasttime " "); return true; ?>

　　 下面是php ini中session的配置说明 session save_handler = "files" 存储和检索与会话关联的数据的处理器名字默认为文件("files") 如果想要使用自定义的处理器(如基于数据库的处理器) 可用"user" 有一个使用PostgreSQL的处理器 session save_path = "/tmp" 传递给存储处理器的参数对于files处理器此值是创建会话数据文件的路径 Windows下默认为临时文件夹路径你可以使用"N[MODE]/path"这样模式定义该路径(N是一个整数) N表示使用N层深度的子目录而不是将所有数据文件都保存在一个目录下 [MODE]可选必须使用进制数默认 (= ) 表示每个目录下最多保存的会话文件数量这是一个提高大量会话性能的好主意注意 : "N[MODE]/path"两边的双引号不能省略注意 : [MODE]并不会改写进程的umask 注意 : php不会自动创建这些文件夹结构请使用ext/session目录下的mod_files sh脚本创建注意 : 如果该文件夹可以被不安全的用户访问(比如默认的"/tmp") 那么将会带来安全漏洞注意 : 当N> 时自动垃圾回收将会失效具体参见下面有关垃圾搜集的部分

　　session name = "PHPSESSID" 用在cookie里的会话ID标识名只能包含字母和数字

　　session auto_start = Off 在客户访问任何页面时都自动初始化会话默认禁止因为类定义必须在会话启动之前被载入所以若打开这个选项你就不能在会话中存放对象

　　session serialize_handler = "php" 用来序列化/解序列化数据的处理器 php是标准序列化/解序列化处理器另外还可以使用"php_binary" 当启用了WDDX支持以后将只能使用"wddx"

　　session gc_probability = session gc_divisor = 定义在每次初始化会话时启动垃圾回收程序的概率这个收集概率计算公式如下 session gc_probability/session gc_divisor 对会话页面访问越频繁概率就应当越小建议值为 / ~

　　session gc_maxlifetime = 超过此参数所指的秒数后保存的数据将被视为垃圾并由垃圾回收程序清理判断标准是最后访问数据的时间(对于FAT文件系统是最后刷新数据的时间) 如果多个脚本共享同一个session save_path目录但session gc_maxlifetime不同那么将以所有session gc_maxlifetime指令中的最小值为准如果使用多层子目录来存储数据文件垃圾回收程序不会自动启动你必须使用一个你自己编写的shell脚本 cron项或者其他办法来执行垃圾搜集比如下面的脚本相当于设置了"session gc_maxlifetime= " ( 分钟) cd /path/to/sessions find cmin + | xargs rm

　　session referer_check = 如果请求头中的"Referer"字段不包含此处指定的字符串则会话ID将被视为无效注意如果请求头中根本不存在"Referer"字段的话会话ID将仍将被视为有效默认为空即不做检查(全部视为有效)

　　session entropy_file = "/dev/urandom" 附加的用于创建会话ID的外部高熵值资源(文件) 例如UNIX系统上的"/dev/random"或"/dev/urandom"

　　session entropy_length = 从高熵值资源中读取的字节数(建议值 )

　　session use_cookies = On 是否使用cookie在客户端保存会话ID

　　session use_only_cookies = Off 是否仅仅使用cookie在客户端保存会话ID 打开这个选项可以避免使用URL传递会话带来的安全问题但是禁用Cookie的客户端将使会话无法工作

　　session cookie_lifetime = 传递会话ID的Cookie有效期(秒) 表示仅在浏览器打开期间有效

　　session cookie_path = "/" 传递会话ID的Cookie作用路径

　　session cookie_domain = 传递会话ID的Cookie作用域默认为空表示表示根据cookie规范生成的主机名

　　session cookie_secure = Off 是否仅仅通过安全连接()发送cookie

　　session cookie_only = Off 是否在cookie中添加Only标志(仅允许HTTP协议访问) 这将导致客户端脚本(JavaScript等)无法访问该cookie 打开该指令可以有效预防通过XSS攻击劫持会话ID

　　session cache_limiter = "nocache" 设为nocache|private|public以指定会话页面的缓存控制模式或者设为空以阻止在应答头中发送禁用缓存的命令

　　session cache_expire = 指定会话页面在客户端cache中的有效期限(分钟) session cache_limiter=nocache时此处设置无效

　　session use_trans_sid = Off 是否使用明码在URL中显示SID(会话ID) 默认是禁止的因为它会给你的用户带来安全危险用户可能将包含有效sid的URL通过email/irc/QQ/MSN…途径告诉给其他人包含有效sid的URL可能会被保存在公用电脑上用户可能保存带有固定不变sid的URL在他们的收藏夹或者浏览历史纪录里面基于URL的会话管理总是比基于Cookie的会话管理有更多的风险所以应当禁用

　　session bug_pat_ = On session bug_pat_warn = On PHP 之前的版本有一个未注明的"BUG" 即使在register_globals=Off的情况下也允许初始化全局session变量如果你在PHP 之后的版本中使用这个特性会显示一条警告建议关闭该"BUG"并显示警告

　　session hash_function = 生成SID的散列算法 SHA 的安全性更高一些 : MD ( bits) : SHA ( bits) 建议使用SHA

　　session hash_bits_per_character = 指定在SID字符串中的每个字符内保存多少bit 这些二进制数是hash函数的运算结果 : a f : a v : a z A Z " " " " 建议值为

cha138/Article/program/PHP/201311/21306

知识大全 解析php session

知识大全解析php session