会话技术:Session
由于cookie技术是将所有会话数据存储在浏览器,使得会话数据安全性较低,同时如果cookie数据量较大,每次请求时都携带大数据量cookie会增大带宽使用。
所以Session技术应运而生,Session将会话数据存储于服务器端,只将会话数据的唯一标志ID通过cookie的形式存储在浏览器,每次浏览器请求服务器时,只携带ID请求服务器,便可达到和cookie技术相同的效果。
session技术基本原理
基本操作
两种开启session机制的方法
- 通过函数开启
session_start();
- 通过php.ini设置为自动开启:session.auto_start=1
利用$_SESSION操作session数据
在PHP中,于设置cookie不同,对session的增删改查都是通过设置$_SESSION来完成。
//新增
$_SESSION['class_name'] = 'PHP';
//删除
unset($_SESSION['class_name']);
//修改
$_SESSION['class_name'] = 'JAVA';
//直接引用$_SESSION即可查询
var_dump($_SESSION['class_name']);
Session原理
我们知道Session的主体数据存储于服务器,浏览器携带Cookie中存在的Session-ID向服务器发出请求,服务器再根据ID来查找到Session的数据区,从而获取到Session数据。
其实存储于浏览器Cookie中的Session-ID就是一个普通的Cookie变量。
Cookie中的Session-ID
PHP会在第一次响应前查看请求中是否存在带有Session-id的Cookie,如果有,直接找出Session,如果没有,会生成一个,响应时给浏览器。
流程图
Session数据属性
Session也和Cookie一样,存在有效期、有效路径、有效域、是否仅安全链接传输、是否仅为HTTP使用等属性,但是和Cookie不同的是设置的属性是为Session的Session_ID设置,Session默认和SessionID有着同样的属性,设置这些属性主要有三种设置方法。如下:
- 更改php.ini配置文件(不建议),所有的PHP程序都会具有设置后的属性,在php.ini文件中搜索session.cookie_可以找到。
- 通过在脚本中,使用ini_set()来设置,仅在设置后的脚本周期有效,要保证在开启Session前设置完毕。
- 使用特定功能函数:
session_set_cookie_params(有效期,有效路径,有效域,是否仅安全传输,是否HTTPONLY)
注意:选项的设置是针对cookie中的sessionID。
Session使用语法问题
-
Session数据可以是任意的数据类型:
三级数组结构
原因是session数据区内数据是序列化后才存储的,如图:
序列化后的session文件内容
-
Session数组元素的下标,只能是字符串类型,否则将无法识别
-
Session_start(),类似于header函数,前面不应该有除了echo函数之外的输出,包括HTML标签
Session数据区
在脚本周期外,持久存储当前会话Session数据的区域为Session数据区,在脚本周期之内使用$_SESSION这个变量管理会话session数据。
SESSION存储机制
Session销毁
销毁Session数据区:
session_destroy();
销毁$_SESSION:
unset($_SESSION);
完全删除当前Session相关全部数据:
session_destroy();
unset($_SESSION);
清空Session数据区:
$_SESSION = array();
之所以将$_SESSION置为空数组就能清空当前Session数据区是因为,在每次脚本周期结束前,PHP核心会自动将$_SESSION变量写入到Session数据区中
将session存储如数据库的好处:
- 便于管理大量的session数据
- 便于Web服务器集群共享session数据
实现过程:
类似于重注册自动加载函数:spl_autoload_register
- 定义自定义的存储处理函数(6个,开始方法,结束方法,读方法,写方法,删方法,垃圾回收方法)
- 将它设置为session需要的存储函数
<?php
function userSessionBegin() {
echo '<br>Begin<br>';
//初始化数据库服务器连接
$link = mysql_connect('127.0.0.1:3306', 'root', '1234abcd');
mysql_query('set names utf8');
mysql_query('use `php34`');
}
function userSessionEnd() {
echo '<br>End<br>';
return true;
}
/**
* 读操作
* 执行时机: session机制开启程中执行
* 工作: 从当前session数据区读取内容
* @param $sess_id string
* @return string
*/
function userSessionRead($sess_id) {
echo '<br>Read<br>';
//查询
$sql = "SELECT session_content FROM `session` WHERE session_id='$sess_id'";
$result = mysql_query($sql);
if ($row = mysql_fetch_assoc($result)) {
return $row['session_content'];
} else {
//没有找到,返回空字符串
return '';
}
}
/**
* 写操作
* 执行时机: 脚本周期结束时,PHP在整理收尾时
* 工作: 将当前脚本处理好的session数据,持久化存储到数据库中!
* @param $sess_id string
* @param $sess_content string 序列化好的session内容字符串
* @return bool
*/
function userSessionWrite($sess_id, $sess_content) {
echo '<br>Write<br>';
// 完成写
$sql = "REPLACE INTO `session` VALUES ('$sess_id', '$sess_content', unix_timestamp())";
// $sql = "INSERT INTO `session` VALUES ('$sess_id', '$sess_content') ON DUPLICATE KEY UPDATE session_content='$sess_content', last_time=unix_timestamp()"
return mysql_query($sql);
}
/**
* 删除操作
* 执行时机: 调用了session_destroy()销毁session过程中被调用
* 工作: 删除当前session的数据区(记录)
* @param $sess_id string
* @return bool
*/
function userSessionDelete($sess_id) {
echo '<br>Delete<br>';
//删除
$sql = "DELETE FROM `session` WHERE session_id='$sess_id'";
return mysql_query($sql);
}
/**
* 垃圾回收操作
* 执行时机: 开启session机制时,有概率的执行
* 工作: 删除那些过期的session数据区
* @param $max_lifetime
* @return bool
*/
function userSessionGC($max_lifetime) {
echo '<br>GC<br>';
//删除
$sql = "DELETE FROM `session` WHERE last_time<unix_timestamp()-$max_lifetime";
return mysql_query($sql);
}
// 设置
session_set_save_handler(
'userSessionBegin',
'userSessionEnd',
'userSessionRead',
'userSessionWrite',
'userSessionDelete',
'userSessionGC'
);
ini_set('session.save_handler', 'user');
注意:
垃圾回收方法的调用时,PHP内核控制,可在php.ini中找到并设置它的触发概率,默认为1/1000。
