PHP 不得不提的 session 與 cookie

bruce_qi 發表於2019-09-11

 session與cookie是什麼?

session與cookie屬於一種會話控制技術.常用在身份識別,登入驗證,資料傳輸等.舉個例子,就像我們去超市買東西結賬的時候,我們要拿出我們的會員卡才會獲取優惠.這時候,我們怎麼識別這個會員卡真實有效的呢?當我們將會員號給到收銀員,收銀員根據我們提供的會員號,輸入到系統中,系統根據這個會員號去查詢,如果查詢到了就證明這個會員號是真實存在的.這裡的會員號就好比cookie與session.會員系統就好比伺服器端,收銀員就好比客戶端.

 為什麼會用到session與cookie呢?

根據上述的例子,我們知道session與cookie是可以幹什麼的了,那為什麼必須用這個來實現呢?這裡就有必要了解一下http應用傳輸協議的特點了。由於http協議是無狀態的,即瀏覽器去請求了一個網頁,這時候就是一個http請求,當服務端接收到請求之後,返回客戶端需要的資料,在這過程中瀏覽器與伺服器是建立了一個連線的。但是當服務端返回資料,客戶端收到資料之後,他們的這種連線關係就斷開了。下次瀏覽器再去傳送請求的時候,又是重新建立一個連線,這兩個連結沒有任何關係。試想一下,當我們登入一個商場系統的時候,進入首頁做了登入操作,但是我們下單或者加入購物車的時候,還需要登入,每訪問一個頁面就要登入,是不是很繁瑣同時也是很不科學的,萬一我們加入購物車的商品,我們點選下單了,下單頁面要登入而且還無法正確的反饋出你下單時的那些商品.

 Http特點

1.http協議支援客戶端/服務端模式,也是一種請求/響應模式的協議。

2.無連線。所謂的無連線就是伺服器收到了客戶端的請求之後,響應完成並收到客戶端的應答之後,即斷開連線。限制每次的連線只處理一次請求。從而節省傳輸時間。

3.無狀態。http協議對事務的處理沒有記憶能力。也就意味著如果需要前面的資訊,只能重傳,這無形之中增加資料的傳輸量。這種方式某種方面上講解放了伺服器,但是卻不利於客戶端與伺服器的連線。為了彌補這種不足,產生了兩項記錄http狀態的技術,一個叫做Cookie,一個叫做Session,後面我們再細講它們。

4.簡單快捷:所謂的簡單快捷是指客戶端向伺服器請求服務時,一般來說只需要傳輸請求方法和路徑,就能進行訪問

5.靈活:這裡主要指的是客戶端可以通過http協議傳輸任意型別的資料。比如傳輸.jpg檔案、.ppt檔案等等,只需要設定content-type就可以進行傳輸。

 Cookie

 cookie的基本概念

cookie是遠端瀏覽器儲存資料以此追蹤使用者和識別使用者的的機制,從實現來說,cookie是儲存在客戶端上的一個資料片段。

 cookie的執行原理與儲存機制

.執行原理

1.客戶端向服務端發起一個http請求.

2.服務端設定一個建立cookie的指令,響應給客戶端.

3.客戶端收到服務端響應的指令,根據指令在客戶端建立一個cookie.

4.擋下一次請求時,客戶端攜帶這個cookie向服務端傳送請求.

.儲存機制

總的來說,cookie在客戶端儲存的形式有三種,不同的瀏覽器的儲存機制不同,存的cookie也不同.

1.檔案儲存.瀏覽器會針對不同的域,在磁碟的對應目錄建立一個單獨的檔案,來儲存該域下面的cookie值.

2.記憶體儲存.當瀏覽器關閉時,該cookie隨之消失.根據下面的建立語法,當我們未設定過期時間時則會出現這種情況.

3.flash儲存.這種儲存方式是永久儲存在磁碟中,即使通過瀏覽器刪除一些資料都是無法刪除該方式儲存的cookie,如果需要刪除,可能通過磁碟的方式.

 cookie的設定


Bool setcookie(string $name[, string $values, $expire=0[,string $path[,string $domain[, bool $secure = false[, bool $httpOnly = false]]]]] );

$name:cookie儲存的名稱,必填選項.

$values:cookie儲存的值。這裡需要注意的是,當把該值設定為false時,客戶端會嘗試刪除這個cookie值,因此在要將值這是為true或者false的時候,我們用另外的值來代替,例如true用1代替,false用0來代替.

$expire:cookie的過期時間,秒為單位,當該值被設定時,定時刪除;當該值沒有設定時,該值是永久有效的.該值設定為小於當前時間時,會出發瀏覽器的刪除機制,會自動刪除cookie.

$path:cookie有效的目錄,預設的目錄是"/",即表示當前的正個域名都生效.

$domain:cookie的作用域名,預設的是當前域名有效,如果需要設定直接填寫生效的域名即可.需要注意的是IE瀏覽器有長度限制,當只有大於5的時候才會生效.

$secure:cookie的加密處理,當設定為true的時候,需要使用HTTPS協議,才會生效.

$httpOnly:決定cookie是否只使用http協議,當設定為1或者true,其他非http協議是無法操作cookie的。例如我們未設定的時候,我們JavaScript是可以對cookie進行設定的.這樣一定程度上保證了安全性.這種情況需考慮瀏覽器是否支援該配置項.

. 設定cookie的函式還有setrawcookie()函式,只不過該函式不會對值 進行urlencode序列號.

.<font color="red">有時候,我們可能遇到這種情況,我們在這個頁面設定了cookie,但是去重新整理頁面獲取cookie,按理說是會獲取到cookie的,但實際情況是無法獲取到,這是由於cookie執行機制導致,PHP建立了cookie這個指令,告訴瀏覽器,你需要執行這個指令了,這時候瀏覽器才會去執行這個指令,因此是無法獲取到cookie的.

. 在設定cookie之前,不能有任何輸出.

// 實現方式一
setcookie($cookie,"hello,world!", 3600);
// 實現方式二
header("header("Set-Cookie: testcookie=中文; path=/; domain=.sunphp.org; expires=".gmstrftime("%A, %d-%b-%Y %H:%M:%S GMT",time()+9600));");
// 兩則的作用是一樣的,setcookie是PHP內建函式,是對http協議的操作封裝。

 cookie的獲取

$_COOKIE['$cookeName'];

 cookie的應用

. 使用者身份識別

. 資料傳輸

. 登入控制(是否登入、單點登入)

 cookie跨域設定

我們都知道,在前端開發中時常會遇到ajax跨域問題,我們解決的方式有很多種,可以參考這篇文章傳送門1傳送門2,cookie跨域我們可以參考p3p傳輸協議傳送門

 cookie使用的注意事項

.數量限制,客戶端對每一個domian下的cookie是有數量限制的,不是建立任意數量就行.

.安全性,根據上面的建立語法,我們可以得知,當我們未設定$httpOnly值得時候,非http協議是可以操作cookie的值的,例如JavaScript通過cookie($cookieName).而且一些抓包工具也是可以抓取到cookie的,還有就是cookie儲存在客戶端的檔案中,如果獲取到這個cookie,也是可以對cookie做一些操作的.為了防止別人可以拷貝cookie檔案,進行惡意操作,可以對cookie進行加密處理.

資料傳輸:當cookie數量很多,資料很大的時候,其實對於頻寬是有消耗的.比較http傳輸都需要頻寬,當http傳輸的資料量大了,帶了的頻寬消耗就大.

 Session

 執行原理與儲存機制

. 執行原理

1.客戶端向服務端發起請求,建立通訊

2.服務端根據設定的session建立指令,在服務端建立一個編號為sessionid的檔案,裡面的值就是session具體的值(組成部分 變數名 | 型別 :長度:值).

3.服務端將建立好的sessionid編號響應給客戶端,客戶則將該編號存在cookie中(一般我們在瀏覽器儲存的除錯欄中會發現cookie中有一個PHPSESSID的鍵,這就是sessionid,當然這個名稱,我可以通過設定服務端是可以改變的).

.當下一次請求時,客戶端將這個sessionid攜帶在請求中,傳送給服務端,服務端根據這個sessionid來做一些業務判斷.

.儲存機制
1.儲存方式.session預設是檔案儲存的.我們可以通過php.ini的配置來設定儲存驅動傳送門

2.生命週期.當我們未設定session的生命週期時,當瀏覽器關閉之後儲存在客戶端的phpsessid自動消失,因為它是存在記憶體,下次建立連線的時候會重新建立一個phpsessid.之前的session,PHP會自動的根據垃圾回收機制自動刪除.這裡我們可以根據session_set_cookie_params($expire)函式來設定一個生命週期;

 session的設定


session_start();

$_SESSION = $values;

. session_start()設定之前,不能有任何輸出

 session的獲取

$_SESSION['values'];

 session的刪除

// 只是單純的給重新賦了一個空的值
$_SESSION['values'] = '';
// 該函式是清空所有的session,慎用!
session_destroy();
// 連values這個session鍵都會刪除
unset($_SESSION['values']);

 session的使用場景

. 使用者身份識別
. 資料傳輸
. 登入控制(是否登入、單點登入)

 session的注意事項

.安全性,sessionid是按照一定的演算法生成,要保證session的值唯一性和隨機性.

.客戶端禁用cookie,根據上面session的執行原理可以得出,session的儲存於傳送還是依賴於客戶端,因此當客戶端禁用cookie時,客戶端是無法儲存PHPSESSID的,這時候可以通過url重寫或者表單來實現session的傳輸.

.儲存優化,按照上面的session建立,所有的session都會建立在一個目錄下面,同時有的無效session在垃圾回收機制時間內還不會刪除,當一臺伺服器配置的站點較多時,這時候會生成很多的session檔案,導致我們讀取速度變慢,我們可以設定session的儲存目錄級別,save_path函式.一般大型的專案(如分散式的專案),可以使用其他的儲存方式,如資料儲存,記憶體儲存.

 session與cookie的區別

. session儲存在服務端,cookie儲存在客戶端.

.cookie的建立指令由服務端設定.

.session的sessionid需要客戶端儲存.

 cookie與session的幾個誤區

.客戶端禁止cookie,session無法使用?

使用url重寫或者表單提交可以實現.

.session和cookie的安全性比較,session存在客戶端安全更高?

由於cookie是存在客戶端的,相對來說安全性是要低一些,不過在建立的時候可以設定$httpOnly值.
由於cookie與session是相互關聯的,獲取到cookie一定程度上獲取到了session,同樣可以操作session.

.cookie與session是不是在瀏覽器關閉的時候會消失?

這需要檢視儲存機制了。cookie可以存檔案,記憶體,flash.存記憶體當然瀏覽器關閉則消失了;session由於垃圾回收機制,當在垃圾回收機制內是不會刪除的,除非你程式碼中顯示的做了刪除操作.

.cookie是儲存在客戶端中,如何增加其安全性?

我們可以在設定cookie的時候,增加一些特殊引數,如客戶端資訊ip、瀏覽器資訊等.

.當cookie存在客戶端的檔案中,是不是每個瀏覽器獲取到這個檔案都可以進行操作?

要看瀏覽器之間對cookie的管理機制是不是一樣.