PHP版本--HTTP session cookie原理及應用

原創 胖子甲 2020-02-21 09:38

原文鏈接爲:點擊打開鏈接

PHP 的COOKIE

    cookie 是一種在遠程瀏覽器端儲存數據並以此來跟蹤和識別用戶的機制。 
    PHP在http 協議的頭信息裏發送cookie,因此  setcookie()函數必須在其它信息被輸出到瀏覽器前調用,這和對header()函數的限制類似。

------------------------------------------------------------------------------------------------------------------------------

    1.設置cookie:

    a.可以用 setcookie()或 setrawcookie()函數來設置 cookie。也可以通過向客戶端直接發送http頭來設置。

    eg:

Php代碼  收藏代碼
  1. $value = 'something from somewhere';  
  2. setcookie("TestCookie"$value); /* 簡單 cookie設置 */   
  3. setcookie("TestCookie"$value, time()+3600); /* 有效期 1個小時 */   
  4. setcookie("TestCookie"$value, time()+3600, "/~rasmus/",  
  5. ".example.com", 1); /* 有效目錄 /~rasmus,有效域名 example.com及其所有子域名 */   

    設置多個 cookie  變量:setcookie('var[a]','value');  用數組來表示變量,但他的下標不用引號。這樣就可以用$_COOKIE[‘var’][‘a’]來讀取該COOKIE 變量。

     b. 使用 header()設置cookie;

     header("Set-Cookie: name=$value[;path=$path[;domain=xxx.com[;...]]");

     eg:

Php代碼  收藏代碼
  1. $value = 'something from somewhere';   
  2. header("Set-Cookie:name=$value");  

 

------------------------------------------------------------------------------------------------------------------------------

    2.讀取cookie:

    直接用php  內置超級全局變量$_COOKIE 就可以讀取瀏覽器端的cookie。 

    上面例子中設置了cookie "TestCookie",現在我們來讀取:

     eg:

Php代碼  收藏代碼
  1. print $_COOKIE['TestCookie'];  

------------------------------------------------------------------------------------------------------------------------------

    3.刪除cookie

     只需把有效時間設爲小於當前時間,和把值設置爲空。例如:

     eg:

Php代碼  收藏代碼
  1. setcookie("name""", time()-1);  

     用header()類似。

 

     note:

     a.用setcookie()時有錯誤提示,可能是因爲調用setcookie()前面有輸出或空格。也可能你的文檔是從其他字符集轉  換過來,文檔後面可能帶有 BOM 簽名(就是在文件內容添加一些隱藏的BOM 字符)。解決的辦法就是使你的文檔不出現這種情況。還有通過使用ob_start()函數 也能處理一點。

     b.$_COOKIE 受magic_quotes_gpc 影響,可能自動轉義

     c.使用的時候,有必要測試用戶是否支持cookie

------------------------------------------------------------------------------------------------------------------------------

     4.原理.

     a.服務器通過隨着響應發送一個http 的Set-Cookie 頭,在客戶機中設置一個cookie(多個cookie 要多個頭)。 

     b.客戶端自動向服務器端發送一個http 的cookie 頭,服務器接收讀取。 
          HTTP/1.x 200 OK 
          X-Powered-By: PHP/5.2.1 
          Set-Cookie: TestCookie=something from somewhere; path=/ 
          Expires: Thu, 19 Nov 2007 18:52:00 GMT 
          Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 
          Pragma: no-cache 
          Content-type: text/html

    這一行實現了cookie 功能,收到這行後

    Set-Cookie: TestCookie=something from somewhere; path=/ 

    瀏覽器將在客戶端的磁盤上創建一個cookie 文件,並在裏面寫入:

    TestCookie=something from somewhere; 

    這一行就是我們用 setcookie('TestCookie','something   from  somewhere','/'); 的結果。也就是用 
    header('Set-Cookie: TestCookie=something from somewhere; path=/');的結果。

 

-------------------------------------------------分割線--------------------------------------------------------------------

 

PHP 的SESSION

session 使用過期時間設爲0 的cookie,並且將一個稱爲session ID 的唯一標識符(一長串字符串),在服務器端同步生成一些 session 文件(可以自己定義 session 的保存類型),與用戶機關聯起來。web應用程序存貯與這些 session 相關的數據,並且讓數據隨着用戶在頁面之間傳遞.訪問網站的來客會被分配一個唯一的標識符,即所謂的 SESSION ID。它要麼存放在客戶端的cookie,要麼經由  URL  傳遞.SESSION 允許用戶註冊任意數目的變量並保留給各個請求使用。當來客訪問網站時,PHP會自動(如果session.auto_start 被設爲1)或在用戶請求時(由session_start()明確調用或session_register() 暗中調用)檢查請求中是否發送了特定的SESSION ID。如果是,則之前保存的環境就被重建。

session最最核心的概念就是:網頁間跳轉的額外數據,保存在服務器,用一個id標識,瀏覽器要維持session,需要每次提交都帶上這個id.

------------------------------------------------------------------------------------------------------------------------------

session id的傳遞有兩種方式:

a.通過 cookie 傳送 SESSION ID

使用 session_start()調用 session,服務器端在生成session 文件的同時,生成 session ID 哈希值和默認值爲PHPSESSID 的session name,並向客戶端發送變量爲(默認的是)PHPSESSID(session name),值爲一個 128 位的哈希值。服務器端將通過該 cookie 與客戶端進行交互。session 變量的值經php內部序列化後保存在服務器機器上的文本文件中,和客戶端的變量名默認情況下爲PHPSESSID 的coolie 進行對應交互.即服務器自動發送了http  頭:header('Set-Cookie:  session_name()=session_id();  path=/'); 即setcookie(session_name(),session_id()); 
當從該頁跳轉到的新頁面並調用session_start()後,PHP 將檢查與給定ID 相關聯的服務器端存貯的session 數據,如果沒找到,則新建一個數據集。

b.通過URL傳送 session ID

只有在用戶禁止使用cookie 的時候才用這種方法,因爲瀏覽器cookie 已經通用,爲安全起見,可不用該方法。 
    <a href="p.php?<?php print session_name() ?>=<?php print session_id() ?>">xxx</a>,也可以通過 POST 來傳遞 session 值。

------------------------------------------------------------------------------------------------------------------------------

如果客戶端禁止使用cookie,可以使用如下辦法:

a、設置php.ini中的session.use_trans_sid = 1或者編譯時打開打開了--enable-trans-sid選項,讓PHP自動跨頁傳遞session id。 
b、手動通過URL傳值、隱藏表單傳遞session id。 
c、用文件、數據庫等形式保存session_id,在跨頁過程中手動調用。

link:http://apps.hi.baidu.com/share/detail/41643457

 

session也可以在禁用cookie的情況下使用:
php.ini中session.use_cookies=1,改爲0,session會保存在服務器端,而不是客戶端的cookie。

可以通過session.save_path來查看服務器的session存放位置

session的使用:

eg:

Php代碼  收藏代碼
  1. // page1.php   
  2.     session_start();   
  3.     echo 'Welcome to page #1';  
  4.     /* 創建 session變量並給 session變量賦值 */   
  5.   
  6.     $_SESSION['favcolor'] = 'green';   
  7.     $_SESSION['animal'] = 'cat';   
  8.     $_SESSION['time'] = time();  
  9.     // 如果客戶端使用 cookie,可直接傳遞 session到page2.php   
  10.    echo '<br /><a href="page2.php">page 2</a>';  
  11.     // 如果客戶端禁用 cookie   
  12.    echo '<br /><a href="page2.php?' . SID . '">page 2</a>';   
  13.     /* 
  14.     默認php5.2.1下,SID只有在 cookie被寫入的同時纔會有值,如果該 session  
  15.     對應的 cookie 已經存在,那麼 SID將爲 (未定義)空  
  16.     */   
 
Php代碼  收藏代碼
  1. // page2.php   
  2.     session_start();  
  3.     print $_SESSION['animal']; // 打印出單個 session   
  4.     var_dump($_SESSION); // 打印出page1.php傳過來的 session值   
 

刪除session:

eg:

Php代碼  收藏代碼
  1. session_destroy();      // 第一步: 刪除服務器端 session文件,這使用   
  2. setcookie(session_name(),'',time()-3600);      //  第 二 步 : 刪 除 實 際 的session:  
  3. $_SESSION = array();     // 第三步: 刪除$_SESSION全局變量數組   
  4. ?>   

 

 

------------------------------------------------------------------------------------------------------------------------------

一個簡單的示例:

php code:

Php代碼  收藏代碼
  1. session_start();  
  2.   
  3. if (isset($_SESSION['test_sess'])){  
  4.   
  5.     $_SESSION['test_sess']++;  
  6.   
  7. }else{  
  8.   
  9.     $_SESSION['test_sess'] = 0;  
  10.   
  11. }  
  12.   
  13. echo $_SESSION['test_sess'];  

 

使用的一個叫做httplook的http包嗅探工具來抓包:

 

第一次請求服務器:

GET /test.php HTTP/1.1 
Accept: */* 
Referer: http://localhost/ 
Accept-Language: zh-cn 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322) 
Host: localhost 
Connection: Keep-Alive

 

服務器第一次返回:

HTTP/1.1 200 OK 
Date: Fri, 26 Aug 2005 07:44:22 GMT 
Server: Apache/2.0.54 (Win32) SVN/1.2.1 PHP/5.0.4 DAV/2 
X-Powered-By: PHP/5.0.4 
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/ 
Expires: Thu, 19 Nov 1981 08:52:00 GMT 
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 
Pragma: no-cache 
Content-Length: 1 
Keep-Alive: timeout=15, max=99 
Connection: Keep-Alive 
Content-Type: text/html; charset=utf-8 
Content-Language: Off

 

第二次請求服務器:

GET /test.php HTTP/1.1 
Accept: */* 
Referer: http://localhost/ 
Accept-Language: zh-cn 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322) 
Host: localhost 
Connection: Keep-Alive 
Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3

 

服務器第二次返回:

HTTP/1.1 200 OK 
Date: Fri, 26 Aug 2005 07:44:23 GMT 
Server: Apache/2.0.54 (Win32) SVN/1.2.1 PHP/5.0.4 DAV/2 
X-Powered-By: PHP/5.0.4 
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/ 
Expires: Thu, 19 Nov 1981 08:52:00 GMT 
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 
Pragma: no-cache 
Content-Length: 1 
Keep-Alive: timeout=15, max=98 
Connection: Keep-Alive 
Content-Type: text/html; charset=utf-8 
Content-Language: Off

 

仔細對比這些輸出,第二次請求比第一次請求多出來的就是: 
Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3 
這個header將會向服務器發送一個cookie信息,告訴服務器我有一個cookie,名字叫PHPSESSID,內容是bmmc3mfc94ncdr15ujitjogma3。 
這個cookie是怎麼來的呢?看第一次服務器返回的信息裏邊有: 
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/ 
這是服務器向客戶端瀏覽器寫一個cookie,名字是PHPSESSID,值是bmmc3mfc94ncdr15ujitjogma3,這個值實際就是所謂的session_id。 
繼續看第二次向服務器發出的請求,仍然向服務器發送了PHPSESSID這個cookie 

可以得到以下結論: 
1、只要使用了session,就會通過cookie的方式向客戶端瀏覽器發送session 
2、每次向服務器發出請求的時候,本地瀏覽器會把cookie附帶在請求信息中

 

總結:

只要使用了session,就會通過cookie的方式向客戶端瀏覽器發送session 
實際上session完全是一個抽象的概念,session真正要做的,是在除了http提供的get和post提供的參數之外,針對某個用戶(可能是個瀏覽器,或是臺電腦,甚至是個ip),能保存額外的信息。如果我們不用系統提供的session,完全也可以傳遞數據,比如把我們原本要存入session的數據,序列化後再加密,形成一個字符串,在頁面上所有的url和form裏傳遞。服務器收到頁面請求後,從get或post裏取出機密串,揭開,還原數據,實際上和session要做的東西一個樣。只不過這種方式超級bt,要實現需要做太多額外的工作。 
session從技術角度講,就是把在網頁鏈接之間,額外要存儲的數據,用一個id命名,保存在服務器端,而瀏覽器只需要每次get或post的適合,只提供這個id,就能獲得之前存儲的數據。php默認是用文件來保存數據的。unix下,php一般會在/tmp下面,創建 "sess_"+$session_id 這樣的文件名,通過這個名字,就能直接找到session_id對應的數據。 所以session最最核心的概念就是:網頁間跳轉的額外數據,保存在服務器,用一個id標識,瀏覽器要維持session,需要每次提交都帶上這個id。 

怎麼能讓瀏覽器每次請求都能帶上這個id呢,笨辦法當然是在每個url鏈接或form的post裏都加個id的參數,有些webmail實際上就是這麼做的。當然更簡單的辦法就是通過cookie保存。但cookie方案還有個問題,如果瀏覽器不支持cookie怎麼辦,上面也有陳述.

上述的session,是php4,5提供的session功能,要知道php4之前系統都沒有提供session功能!而且很多cgi程序,都是完全自己實現的session。php(4,5)提供的session,系統默認會用cookie來保存session_id 

我之前一個項目,用戶都在內網使用web。爲了方便管理,直接把瀏覽器ip綁死到一個session,就是用瀏覽器ip地址代替了sessionid。這個方案裏沒有cookie,但還算是session,應爲他沒脫出session的定義。

 

每次向服務器發出請求的時候,本地瀏覽器會把cookie附帶在請求信息中 
實際上和session完全沒有關係,說的只是http協議裏cookie的工作方式。這個cookie是session_start()函數寫的,我們也完全可以自己任意寫cookie,只要寫了,並且沒超過有效期,瀏覽器都能送。


胖子甲
發佈了19 篇原創文章 · 獲贊 9 · 訪問量 4萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

對話阿里云云原生產品負責人李國強:推進可觀測產品與OpenTelemetry開源生態全面融合

5 月 22 日,在最新一期的飛天發佈時刻上,阿里雲宣佈多款可觀測產品全面升級,其中一項是應用實時監控服務 ARMS 在業內率先推進了與 OpenTelemetry 開源生態的全面融合,極大豐富了可觀測的數據類型及規模,大幅增強了 ARMS

原創 2024-05-24 21:13:50

基於日誌或 gv$sql_audit 分析 OB 異常重試 SQL

本文以 SQL 異常重試場景爲例,使用基於 日誌文件 和 gv$sql_aduit 視圖 這兩種方式,找出具體的報錯原因。 作者:鄭增權,愛可生 DBA 團隊成員,OceanBase 和 MySQL 數據庫技術愛好者。 愛可生開源社區出品

原創 2024-05-24 00:02:11

網頁爬蟲開發:使用Scala和PhantomJS訪問知乎

引言 隨着大數據時代的到來,網頁爬蟲作爲一種高效的數據收集工具,被廣泛應用於互聯網數據抓取和信息抽取。而知乎是一個知識分享平臺,擁有大量的用戶生成內容。通過爬蟲獲取知乎數據,企業和研究人員可以進行深入的數據分析和市場研究,瞭解用戶的需求

原創 2024-05-31 00:11:23

如何使用前端表格控件實現多數據源整合?

前言 作爲表格產品的典型應用場景之一,幾乎所有的行業都會存在類 Excel 報表開發這樣的應用場景,而在這些應用場景中,經常會遇見下面的這些痛點: 報表數據往往來自多個不同的數據源,需要報表系統能夠同時連接多個數據源,並融合不同的數據格式

原創 2024-05-29 10:45:31

界面組件Kendo UI for Angular教程 - 構建強大的PDF閱讀器(二)

如今當用戶需要處理PDF文件時,通常不得不下載應用程序或者瀏覽器插件,控制用戶如何與PDF交互並不是一件容易的事。如果我們提供PDF作爲內容,用戶可以下載它並使用瀏覽器或PDF本身提供的控件進行交互。然而,一些企業可能希望控制用戶使用PDF

原創 2024-05-28 12:19:07

音頻鏈接抓取技術在Lua中的實現

前言 隨着數字音樂的普及,越來越多的用戶選擇在線音樂平臺來享受音樂。網易雲音樂作爲國內領先的音樂服務平臺,不僅提供了豐富的音樂資源,還擁有獨特的社交屬性,吸引了大量的用戶。在衆多的音樂服務中,音頻鏈接的抓取技術成爲了一個重要的需求。無論

原創 2024-05-28 00:07:25

使用 Spring Cloud Alibaba AI 構建 RAG 應用

作者:姬世文 背景介紹 RAG(Retrieval Augmented Generation) 檢索增強生成(RAG)是一種用於將數據與人工智能模型集成的技術。在 RAG 工作流程中,第一步將文檔數據加載到矢量數據庫(例如 Redis)中。

原創 2024-05-27 21:13:51

使用JavaScript日曆小部件和DHTMLX Gantt的應用場景(三)

DHTMLX Suite UI 組件庫允許您更快地構建跨平臺、跨瀏覽器 Web 和移動應用程序。它包括一組豐富的即用式 HTML5 組件,這些組件可以輕鬆組合到單個應用程序界面中。 DHTMLX Gantt是用於跨瀏覽器和跨平臺應用程序的功

原創 2024-05-27 12:19:39

5款可以將錄屏轉換成動圖的錄屏轉GIF軟件工具介紹

將錄屏轉換成動圖(GIF)有幾個好處: 簡潔明瞭:動圖能夠將複雜的操作或概念以簡潔明瞭的方式展示出來,有助於清晰表達想法或演示操作步驟。 易分享:GIF格式廣泛支持,易於在社交媒體、論壇等平臺分享,幫助傳播信息和吸引注意。 節省

噓噓者 2024-05-24 12:56:36

WordPress登錄出現"Cookies被阻止或者您的瀏覽器不支持"的原因及解決辦法

之前遇到過WordPress登錄出現"Cookies被阻止或者您的瀏覽器不支持"提示,據此記錄下,並和大家分享,這個問題通常是由於瀏覽器設置問題或者網站配置問題導致的。常見原因包括: 1、瀏覽器設置問題:瀏覽器可能阻止了網站設置的cooki

噓噓者 2024-05-24 12:56:35

Python實現大麥網搶票的四大關鍵技術點解析

前言 隨着互聯網的普及和發展,線上購票已經成爲人們生活中不可或缺的一部分。然而,在搶購熱門演出門票時,往往會遇到搶票難、搶票快的問題,有時候一秒鐘的延遲就意味着與心儀的演出擦肩而過。爲了解決這個問題,技術愛好者們開始探索利用Python

原創 2024-05-23 00:18:04

Java實現抓取在線視頻並提取視頻語音爲文本

一、 背景 最近在做大模型相關的項目,其中有個模塊需要提取在線視頻語音爲文本並輸出給用戶。作爲一個純後端Jave工程師,搞這個確實是初次嘗試。 二、 調研 基於上述功能模塊,主要有三大任務:1、 提取網頁中的視頻 2、 視頻轉語音 3、 語

原創 2024-05-22 11:56:46

H5按需加載探索——Webpack模塊化示例

1-前言 瀏覽器早已已經全面支持ESM即ES模塊化,可以實現前端代碼的模塊化,以及按需加載/下載,甚至還提供了一個非常貼心的ES特性:importmap 通過importmap,可以代碼零修改實現按需加載: 1.1 在html中聲明模塊的

原創 2024-05-22 11:10:06

Selenium與PhantomJS:自動化測試與網頁爬蟲的完美結合

在當今互聯網時代,自動化測試和網頁爬蟲技術成爲了不可或缺的工具,它們不僅提高了開發效率,也爲數據採集和分析提供了便利。而Selenium與PhantomJS的結合,則爲這兩個領域的應用帶來了全新的可能性。本文將介紹Selenium與Pha

原創 2024-05-22 00:09:17

一鍵自動化博客發佈工具,用過的人都說好(頭條篇)

雖然頭條現在非常強大,但是我還是不得不吐槽一下頭條的博客發佈,居然不支持markdown格式。 並且在某些瀏覽器上還會出現編輯頁面打不開的情況,讓我一度懷疑是我瀏覽器的問題。 不過,這都不重要,重要的是blog-auto-publishin

原創 2024-05-21 21:38:49