PHP用Session實現用戶登陸功能
對比起Cookie,Session 是存儲在服務器端的會話,相對安全,並且不像 Cookie 那樣有存儲長度限制。由於 Session 是以文本文件形式存儲在服務器端的,所以不怕遠程用戶修改 Session 內容。實際上在服務器端的 Session 文件,PHP 自動修改 Session 文件的權限,隻保留瞭系統讀和寫權限,而且不能通過 ftp 修改,所以安全得多。
因為客戶端 Cookie 中的信息是有可能被修改的。假如你存儲 $admin 變量來表示用戶是否登陸,$admin 為 true 的時候表示登陸,為 false 的時候表示未登錄,在第一次通過驗證後將 $admin 等於 true 存儲在 Cookie,下次就不用驗證瞭,這樣對麼?錯瞭,假如有人偽造一個值為 true 的 $admin 變量那不是就立即取的瞭管理權限麼?非常的不安全。
而 Session 就不同瞭,我們可以單純存儲一個 $admin 變量來判斷是否登陸,首次驗證通過後設置 $admin 值為 true,以後判斷該值是否為 true,假如不是,轉入登陸界面,這樣就可以減少很多數據庫操作瞭。
一、啟動 Session 會話,並創建一個 $admin 變量:
<?php // 啟動 Session session_start(); // 聲明一個名為 admin 的變量,並賦空值。 $_SESSION["admin"] = null; ?>
二、驗證提交數據
假設數據庫存儲的是用戶名和 md5 加密後的密碼:
login.php:
<?php // 表單提交後... $posts = $_POST; // 清除一些空白符號 foreach ($posts as $key => $value) { $posts[$key] = trim($value); } $password = md5($posts["password"]); $username = $posts["username"]; $query = "SELECT `username` FROM `user` WHERE `password` = '$password' AND `username` = '$username'"; // 取得查詢結果 $userInfo = $DB->getRow($query); if (!empty($userInfo)) { // 當驗證通過後,啟動 Session session_start(); // 註冊登陸成功的 admin 變量,並賦值 true $_SESSION["admin"] = true; } else { die("用戶名密碼錯誤"); } ?>
三、判斷是否登陸:
<?php // 防止全局變量造成安全隱患 $admin = false; // 啟動會話,這步必不可少 session_start(); // 判斷是否登陸 if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) { echo "您已經成功登陸"; } else { // 驗證失敗,將 $_SESSION["admin"] 置為 false $_SESSION["admin"] = false; die("您無權訪問"); } ?>
四、如果要登出系統怎麼辦?銷毀 Session 即可。
<?php session_start(); // 這種方法是將原來註冊的某個變量銷毀 unset($_SESSION['admin']); // 這種方法是銷毀整個 Session 文件 session_destroy(); ?>
註釋:session_destroy() 將重置 session,您將失去所有已存儲的 session 數據。
五、設置生存周期
Session 能否像 Cookie 那樣設置生存周期呢?有瞭 Session 是否就完全拋棄 Cookie 呢?我想說,結合 Cookie 來使用 Session 才是最方便的。
Session 是如何來判斷客戶端用戶的呢?它是通過 Session ID 來判斷的,什麼是 Session ID,就是那個 Session 文件的文件名,Session ID 是隨機生成的,因此能保證唯一性和隨機性,確保 Session 的安全。一般如果沒有設置 Session 的生存周期,則 Session ID 存儲在內存中,關閉瀏覽器後該 ID 自動註銷,重新請求該頁面後,重新註冊一個 Session ID。
如果客戶端沒有禁用 Cookie,則 Cookie 在啟動 Session 會話的時候扮演的是存儲 Session ID 和 Session 生存期的角色。
- 通過Cookie設置 Session 的生存期:
<?php session_start(); // 保存一天 $lifeTime = 24 * 3600; setcookie(session_name(), session_id(), time() + $lifeTime, "/"); ?>
- 通過函數 session_set_cookie_params(); 來設置 Session 的生存期的,該函數必須在 session_start() 函數調用之前調用:
<?php // 保存一天 $lifeTime = 24 * 3600; session_set_cookie_params($lifeTime); session_start(); $_SESSION["admin"] = true; ?>
- 假設客戶端禁用 Cookie 怎麼辦?沒辦法,所有生存周期都是瀏覽器進程瞭,隻要關閉瀏覽器,再次請求頁面又得重新註冊 Session。那麼怎麼傳遞 Session ID 呢?通過 URL 或者通過隱藏表單來傳遞,PHP 會自動將 Session ID 發送到 URL 上,URL 形如:http://www.test.cn/index.php?PHPSESSID= bba5b2a240a77e5b44cfa01d49cf9669,其中 URL 中的參數 PHPSESSID 就是 Session ID瞭,我們可以使用 $_GET 來獲取該值,從而實現 Session ID 頁面間傳遞。
<?php // 保存一天 $lifeTime = 24 * 3600; // 取得當前 Session 名,默認為 PHPSESSID $sessionName = session_name(); // 取得 Session ID $sessionID = $_GET[$sessionName]; // 使用 session_id() 設置獲得的 Session ID session_id($sessionID); session_set_cookie_params($lifeTime); session_start(); $_SESSION['admin'] = true; ?>
手動設置 Session 文件的保存路徑,session_save_path() 就提供瞭這樣一個功能。我們可以將 Session 存放目錄指向一個不能通過 Web 方式訪問的文件夾,當然,該文件夾必須具備可讀寫屬性。
<?php // 設置一個存放目錄 $savePath = './session_save_dir/'; // 保存一天 $lifeTime = 24 * 3600; session_save_path($savePath); session_set_cookie_params($lifeTime); session_start(); $_SESSION['admin'] = true; ?>
到此這篇關於PHP用Session實現用戶登陸功能的文章就介紹到這瞭,更多相關PHP用Session登陸內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- PHP 修改SESSION的生存時間案例詳解
- SSM項目使用攔截器實現登錄驗證功能
- Django中Cookie搭配Session使用實踐
- 前端node Session和JWT鑒權登錄示例詳解
- java開發web前端cookie session及token會話機制詳解