CodeIgniter配置之SESSION用法实例分析
发布:smiling 来源: PHP粉丝网 添加日期:2021-07-06 11:22:47 浏览: 评论:0
这篇文章主要介绍了CodeIgniter配置之SESSION用法,结合实例形式分析了PHP中session的运行原理并演示了CI框架下session的配置与使用方法,需要的朋友可以参考下。
本文实例讲述了CodeIgniter配置之SESSION用法。分享给大家供大家参考,具体如下:
刚使用Codeigniter时也被其中的SESSION迷惑过,后来就再也没用过CI自带的SESSION,想必还是有必要整理一下SESSION。为弄清CI中的SESSION,先来说一下PHP中SESSION是如何工作的。由于HTTP协议本身是无状态的,所以当保留某个用户的访问状态信息时,需要客户端有一个唯一标识传给服务端,这个唯一标识就是SESSION ID,存放在客户端的COOKIE中,然后服务端根据该标识读取存放的用户状态信息,达到保存会话状态的目的。PHP中启动一个会话需要执行下面语句:
session_start();
1、客户端每次请求时会有一些信息存放中HTTP头中发送给服务端,以用户第一次访问为例:
- Request Headers
- Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
- Accept-Encoding:gzip,deflate,sdch
- Accept-Language:zh-CN,zh;q=0.8
- Cache-Control:max-age=0
- Connection:keep-alive
- Host:s.local
- User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
2、服务端接到请求处理后并返回给客户端,并在HTTP Response中加上添加COOKIE的请求,告诉浏览器需要设置一个COOKIE,COOKIE名为PHPSESSID,值为r887k5n4scg32d4ba34huuhmq7,如:
- Response Headers
- Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0
- Connection:Keep-Alive
- Content-Length:0
- Content-Type:text/html
- Date:Sun, 08 Dec 2013 12:56:56 GMT
- Expires:Thu, 19 Nov 1981 08:52:00 GMT
- Keep-Alive:timeout=5, max=100
- Pragma:no-cache
- Server:Apache/2.2.11 (Win32) PHP/5.4.7
- Set-Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7; path=/
- X-Powered-By:PHP/5.4.7
3、当客户端再次访问该网站的页面时,浏览器会将该COOKIE发送给服务端,服务端根据COOKIE的值去读取服务器上存放SESSION的文件,拿到到会话信息,如:
- Request Headers
- Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
- Accept-Encoding:gzip,deflate,sdch
- Accept-Language:zh-CN,zh;q=0.8
- Cache-Control:max-age=0
- Connection:keep-alive
- Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7
- Host:s.local
- User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63
从而达到保存会话状态的目的。但也需要注意,如果获取到用户A登录的SESSION ID会怎么样?根据上面的逻辑,如果在请求过程中把获取到的SESSION ID一并发送给服务端,服务端根据SESSION ID读取文件,发现文件内容存在,从而判定用户为A用户,也就是获取到了A用户的用户状态,从而可能可以进行一些敏感操作。所以在会话有效期内,获取到了SESSION ID即获取到了用户的授权,这是比较危险的,以本地的一个管理系统为例,通过chrome登录后查看到客户端COOKIE如下图:
假如如果通过某种手段获取到了SESSION ID, 可以模拟发送一个相同的COOKIE过去即可实现登录。FireFox中可添加COOKIE,打开Firebug后Cookies中新建cookie,确定之后刷新页面即可登录到管理系统,如下图:
通常情况下可通过js获取到cookie,所以需要注意转义,防止数据展示时被执行了。接下来看看CI中的SESSION。在配置文件中有几个跟Session配置相关的参数,影响到Session的使用,它们是:
- //session保存在cookie中的名称
- $config['sess_cookie_name'] = 'ci_session';
- //session的有效时间
- $config['sess_expiration'] = 7200;
- //是否关闭浏览器session失效
- $config['sess_expire_on_close'] = FALSE;
- //SESSION是否加密存放在COOKIE中
- $config['sess_encrypt_cookie'] = FALSE;
- //是否保存在数据库中
- $config['sess_use_database'] = FALSE;
- //存在数据库中,则数据库表名
- $config['sess_table_name'] = 'ci_sessions';
- //是否匹配IP
- $config['sess_match_ip'] = FALSE;
- //是否匹配UserAgent
- $config['sess_match_useragent'] = TRUE;
- //更新时间时间
- $config['sess_time_to_update'] = 300;
CI自带的SESSION没有服务端文件存储,所有的信息都存放在客户端COOKIE中,当调用$this->load->library('session');时会启动一个会话,即设置一个COOKIE,COOKIE的内容如下:
- Array
- (
- [session_id] => f05138a9513e4928cb0a57672cfe3b53
- [ip_address] => 127.0.0.1
- [user_agent] => Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
- [last_activity] => 1386569398
- [user_data] =>
- )
当客户端请求时会将这些信息在HTTP头中传输给服务端,服务端从HTTP头中读取到SESSION信息。同样的可以实现会话,但该方式有很多的不确定因素,根据源码说几点吧:
1、如果日志文件中出现:The session cookie data did not match what was expected. This could be a possible hacking attempt.说明两个问题:a.sess_encrypt_cookie为false,SESSION在COOKIE中未加密存放 b.读取到COOKIE后,校验失败。涉及到加解密、参数处理的情况,容易出现匹配不通过的情况,若不通过则清空SESSION。
2、如果sess_match_ip为true,当客户端IP变化时,SESSION将校验不通过,从而清空SESSION。
3、sess_match_useragent默认为true,当客户端UserAgent变化时,校验不通过,清空SESION。简单的例子,通过IE浏览器访问,若切换到不同的IE模式,Agent不同,所以校验不通过,清空SESSION。
可以看到,当出现上面任何一种情况时,SESSION都会清空,出现登录不成功或者跳转到登录页面的情况。如果说不加密、不校验IP、UserAgent呢?因为COOKIE是存放在客户端,需要伴随HTTP请求发给服务端,一来过多的COOKIE会影响速度,对一些图片等资源来说完全时浪费带宽;二来COOKIE只能存储4K的数据,加密处理后能存放的更小。
种种的不确定因素将产生各种奇怪的问题,避免过多的纠结,果断改用其他方式吧。
Tags: CodeIgniter配置 SESSION
相关文章
- ·CodeIgniter配置之config.php用法实例分析(2021-07-06)
- ·CodeIgniter配置之routes.php用法实例分析(2021-07-06)
- ·CodeIgniter配置之database.php用法实例分析(2021-07-06)
- ·CodeIgniter配置之autoload.php自动加载用法分析(2021-07-06)
- ·CodeIgniter针对数据库的连接、配置及使用方法(2021-07-12)
- ·CI框架自动加载session出现报错的解决办法(2021-02-21)
- ·yii操作session实例简介(2021-03-28)
- ·关于扩展 Laravel 默认 Session 中间件导致的 Session 写入失效问题分析(2021-07-04)
- ·Symfony2 session用法实例分析(2021-07-09)
- ·解析PHP的Yii框架中cookie和session功能的相关操作(2021-07-17)
- ·Symfony2之session与cookie用法小结(2021-07-18)
- ·Laravel5.2使用Captcha生成验证码实现登录(session巨坑)(2021-08-26)
- ·Laravel 5.4.36中session没有保存成功问题的解决(2021-09-03)
- ·Laravel如何使用Redis共享Session(2021-09-03)
- ·laravel获取不到session的三种解决办法【推荐】(2021-10-29)
- ·Yii框架学习笔记之session与cookie简单操作示例(2021-11-20)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)