今天想用一個session來實現用戶登錄判斷,也算是對之前session的探究,查了下資料session的運行機制如下:
session是服務器端的一種會話機制,當客戶端的請求服務器創建一個session時,服務器會先檢測該請求裏面是否包含一個惟一的sessionID,如果是,說明服務器已經爲該用戶創建過session,只要按照該sesionID檢索出該用戶的session供用戶使用,如果沒有sessionID,服務器會爲該用戶新建一個帶有唯一表示服sessionID的session。創建完成後,該sessionID會被服務器返回給客戶端,保存到客戶端本地。
一般保存該session ID的機制是Cookie,但是由於Cookies可以被人爲禁止,這就得保證Cookies被禁止之後,仍舊可以通過session進行會話,一般是通過url重寫進行,表現形式爲http://...../xxx;jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764,另一種是作爲查詢字符串附加在URL後面,表現形式爲http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764這兩種方式對於用戶來說是沒有區別的,只是服務器在解析的時候處理的方式不同,採用第一種方式也有利於把session id的信息和正常程序參數區分開來。
爲了在整個交互過程中始終保持狀態,就必須在每個客戶端可能請求的路徑後面都包含這個session id。
另外是關於session失效的誤區:
在談論session機制的時候,常常聽到這樣一種誤解“只要關閉瀏覽器,session就消失了”。其實可以想象一下會員卡的例子,除非顧客主動 對店家提出銷卡,否則店家絕對不會輕易刪除顧客的資料。對session來說也是一樣的,除非程序通知服務器刪除一個session,否則服務器會一直保 留,程序一般都是在用戶做log off的時候發個指令去刪除session。然而瀏覽器從來不會主動在關閉之前通知服務器它將要關閉,因此服務器根本不會有機會知道瀏覽器已經關閉,之所 以會有這種錯覺,是大部分session機制都使用會話cookie來保存session id,而關閉瀏覽器後這個 session id就消失了,再次連接服務器時也就無法找到原來的session。如果服務器設置的cookie被保存到硬盤上,或者使用某種手段改寫瀏覽器發出的 HTTP請求頭,把原來的session id發送給服務器,則再次打開瀏覽器仍然能夠找到原來的session。
恰恰是由於關閉瀏覽器不會導致session被刪除,迫使服務器爲seesion設置了一個失效時間,當距離客戶端上一次使用session的時間超過這個失效時間時,服務器就可以認爲客戶端已經停止了活動,纔會把session刪除以節省存儲空間。
好了,廢話說了一大堆,說session丟失的解決辦法吧:
1、session_start();應該儘量放置到頁面的頂部;
2、如果php.ini裏面沒有配置 session Autostart的話,每次會話之前,都得手動開啓session:session_start();
3、session是php裏面的超全局變量,跟$_GET,$_POST,$_SERVER一樣,所以使用的時候必須大寫:$_SESSION['username']=$username;
4、跨頁面傳遞示例:a.php頁面傳遞$_SESSION['username']到b.php:
a.php:
<?php session_start(); $username=$_POST['username']; $_SESSION['username']=$username; ?>
b.php
<?php session_start(); echo $_SESSION['username']; ?>
另外附上關於session以及Cookie講的比較清楚的文章: