跳转到内容
主菜单
主菜单
移至侧栏
隐藏
导航
首页
最近更改
随机页面
MediaWiki帮助
代码酷
搜索
搜索
中文(中国大陆)
外观
创建账号
登录
个人工具
创建账号
登录
未登录编辑者的页面
了解详情
贡献
讨论
编辑“︁
PHP会话基础
”︁
页面
讨论
大陆简体
阅读
编辑
编辑源代码
查看历史
工具
工具
移至侧栏
隐藏
操作
阅读
编辑
编辑源代码
查看历史
常规
链入页面
相关更改
特殊页面
页面信息
外观
移至侧栏
隐藏
您的更改会在有权核准的用户核准后向读者展示。
警告:
您没有登录。如果您进行任何编辑,您的IP地址会公开展示。如果您
登录
或
创建账号
,您的编辑会以您的用户名署名,此外还有其他益处。
反垃圾检查。
不要
加入这个!
= PHP会话基础 = '''PHP会话(Session)'''是一种在服务器端存储用户数据的机制,用于在多个页面请求之间保持用户状态。与Cookie不同,会话数据存储在服务器上,客户端仅保存一个会话ID(通常通过Cookie传递)。这使得会话比Cookie更安全,适合存储敏感信息。 == 会话工作原理 == PHP会话通过以下步骤工作: 1. 当用户第一次访问网站时,PHP会生成一个唯一的会话ID(如<code>PHPSESSID=abc123</code>)。 2. 该ID通过Cookie或URL参数发送到客户端。 3. 后续请求中,客户端会发送此ID回服务器。 4. 服务器根据ID找到对应的会话数据。 <mermaid> sequenceDiagram participant Client participant Server Client->>Server: 首次请求(无会话ID) Server->>Client: 生成会话ID(Set-Cookie: PHPSESSID=abc123) Client->>Server: 后续请求(携带Cookie: PHPSESSID=abc123) Server->>Server: 根据ID读取/写入会话数据 </mermaid> == 基本用法 == === 启动会话 === 使用<code>session_start()</code>函数初始化或恢复会话: <syntaxhighlight lang="php"> <?php // 必须在输出任何内容前调用 session_start(); // 设置会话变量 $_SESSION['username'] = 'john_doe'; $_SESSION['last_login'] = time(); echo "会话已启动,数据已存储。"; ?> </syntaxhighlight> '''输出:''' <pre> 会话已启动,数据已存储。 </pre> === 访问会话数据 === 会话变量通过超全局数组<code>$_SESSION</code>访问: <syntaxhighlight lang="php"> <?php session_start(); // 检查并访问数据 if (isset($_SESSION['username'])) { echo "欢迎回来, " . htmlspecialchars($_SESSION['username']); } else { echo "请先登录。"; } ?> </syntaxhighlight> === 销毁会话 === 清除会话数据并终止会话: <syntaxhighlight lang="php"> <?php session_start(); // 清除所有会话变量 $_SESSION = array(); // 删除会话Cookie if (ini_get("session.use_cookies")) { $params = session_get_cookie_params(); setcookie(session_name(), '', time() - 42000, $params["path"], $params["domain"], $params["secure"], $params["httponly"] ); } // 销毁会话 session_destroy(); echo "会话已销毁。"; ?> </syntaxhighlight> == 会话配置 == 通过<code>php.ini</code>或运行时函数配置会话: {| class="wikitable" |+ 常见会话配置选项 ! 选项 !! 描述 !! 默认值 |- | session.save_path | 会话文件存储路径 | /tmp |- | session.name | 会话Cookie名称 | PHPSESSID |- | session.cookie_lifetime | Cookie有效期(秒) | 0(浏览器关闭时过期) |- | session.gc_maxlifetime | 会话数据存活时间(秒) | 1440 |} 运行时配置示例: <syntaxhighlight lang="php"> <?php // 设置会话Cookie1小时有效 ini_set('session.cookie_lifetime', 3600); ini_set('session.gc_maxlifetime', 3600); session_start(); ?> </syntaxhighlight> == 安全实践 == 1. '''始终在输出前调用<code>session_start()</code>''' 2. '''使用HTTPS'''传输会话ID 3. '''定期更换会话ID'''防止固定攻击: <syntaxhighlight lang="php"> session_start(); if (rand(1, 100) <= 10) { // 10%概率重新生成ID session_regenerate_id(true); } </syntaxhighlight> 4. '''限制会话有效期''': <syntaxhighlight lang="php"> $_SESSION['LAST_ACTIVITY'] = time(); // 每次请求更新 $timeout = 1800; // 30分钟 if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > $timeout)) { session_unset(); session_destroy(); } </syntaxhighlight> == 实际案例:用户登录系统 == 以下是一个简单的登录系统实现: === 登录处理 === <syntaxhighlight lang="php"> <?php session_start(); if ($_SERVER['REQUEST_METHOD'] === 'POST') { // 验证逻辑(简化示例) if ($_POST['username'] === 'admin' && $_POST['password'] === 'secret') { $_SESSION['authenticated'] = true; $_SESSION['username'] = $_POST['username']; $_SESSION['login_time'] = time(); header('Location: dashboard.php'); exit; } else { $error = "无效凭证"; } } ?> <!-- HTML登录表单 --> <form method="post"> <input type="text" name="username" placeholder="用户名"> <input type="password" name="password" placeholder="密码"> <button type="submit">登录</button> <?php if (isset($error)) echo "<p>$error</p>"; ?> </form> </syntaxhighlight> === 访问控制 === <syntaxhighlight lang="php"> <?php // dashboard.php session_start(); if (!isset($_SESSION['authenticated']) || !$_SESSION['authenticated']) { header('HTTP/1.0 403 Forbidden'); echo "拒绝访问:请先登录。"; exit; } echo "欢迎, " . htmlspecialchars($_SESSION['username']); echo "<br>登录时间: " . date('Y-m-d H:i:s', $_SESSION['login_time']); ?> </syntaxhighlight> == 会话存储机制 == PHP默认使用文件存储会话,但可通过<code>session_set_save_handler()</code>自定义存储: {| class="wikitable" |+ 会话存储类型比较 ! 类型 !! 优点 !! 缺点 |- | 文件系统 | 简单,无需额外配置 | 性能较低,不适合集群 |- | 数据库 | 可扩展,适合分布式 | 需要额外配置 |- | Redis/Memcached | 高性能,适合高并发 | 需要内存缓存服务 |} 数据库存储示例(MySQL): <syntaxhighlight lang="php"> <?php class MySQLSessionHandler implements SessionHandlerInterface { private $pdo; public function open($savePath, $sessionName) { $this->pdo = new PDO("mysql:host=localhost;dbname=test", "user", "pass"); return true; } public function read($sessionId) { $stmt = $this->pdo->prepare("SELECT data FROM sessions WHERE id = ?"); $stmt->execute([$sessionId]); return $stmt->fetchColumn() ?: ''; } // 其他必需方法实现... } $handler = new MySQLSessionHandler(); session_set_save_handler($handler, true); session_start(); ?> </syntaxhighlight> == 数学基础:会话ID熵 == 会话ID应具有足够的随机性以防止猜测攻击。ID的熵值计算为: <math> E = L \times \log_2(N) </math> 其中: * <math>L</math> = ID长度 * <math>N</math> = 可能的字符数 例如,使用24字符的十六进制ID(N=16): <math> E = 24 \times \log_2(16) = 24 \times 4 = 96 \text{位熵} </math> == 常见问题 == '''Q: 为什么<code>session_start()</code>报错"Headers already sent"?''' A: 这是因为在调用前输出了内容(包括空格或BOM)。确保脚本首行是<code><?php</code>,前面无任何字符。 '''Q: 如何在不同子域名间共享会话?''' A: 配置Cookie域: <syntaxhighlight lang="php"> ini_set('session.cookie_domain', '.example.com'); session_start(); </syntaxhighlight> '''Q: 会话数据何时被清除?''' A: 默认情况下,PHP的垃圾回收器会概率性地清理超过<code>session.gc_maxlifetime</code>秒未活动的会话。 [[Category:编程语言]] [[Category:PHP]] [[Category:PHP会话与cookie]]
摘要:
请注意,所有对代码酷的贡献均被视为依照知识共享署名-非商业性使用-相同方式共享发表(详情请见
代码酷:著作权
)。如果您不希望您的文字作品被随意编辑和分发传播,请不要在此提交。
您同时也向我们承诺,您提交的内容为您自己所创作,或是复制自公共领域或类似自由来源。
未经许可,请勿提交受著作权保护的作品!
取消
编辑帮助
(在新窗口中打开)
