CodeIgniter配置之SESSION用法实例分析


Posted in PHP onJanuary 19, 2016

本文实例讲述了CodeIgniter配置之SESSION用法。分享给大家供大家参考,具体如下:

刚使用Codeigniter时也被其中的SESSION迷惑过,后来就再也没用过CI自带的SESSION,想必还是有必要整理一下SESSION。为弄清CI中的SESSION,先来说一下PHP中SESSION是如何工作的。由于HTTP协议本身是无状态的,所以当保留某个用户的访问状态信息时,需要客户端有一个唯一标识传给服务端,这个唯一标识就是SESSION ID,存放在客户端的COOKIE中,然后服务端根据该标识读取存放的用户状态信息,达到保存会话状态的目的。PHP中启动一个会话需要执行下面语句:

session_start();

1、客户端每次请求时会有一些信息存放中HTTP头中发送给服务端,以用户第一次访问为例:

Request Headers

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Encoding:gzip,deflate,sdch

Accept-Language:zh-CN,zh;q=0.8

Cache-Control:max-age=0

Connection:keep-alive

Host:s.local

User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36

2、服务端接到请求处理后并返回给客户端,并在HTTP Response中加上添加COOKIE的请求,告诉浏览器需要设置一个COOKIE,COOKIE名为PHPSESSID,值为r887k5n4scg32d4ba34huuhmq7,如:

Response Headers

Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0

Connection:Keep-Alive

Content-Length:0

Content-Type:text/html

Date:Sun, 08 Dec 2013 12:56:56 GMT

Expires:Thu, 19 Nov 1981 08:52:00 GMT

Keep-Alive:timeout=5, max=100

Pragma:no-cache

Server:Apache/2.2.11 (Win32) PHP/5.4.7

Set-Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7; path=/

X-Powered-By:PHP/5.4.7

3、当客户端再次访问该网站的页面时,浏览器会将该COOKIE发送给服务端,服务端根据COOKIE的值去读取服务器上存放SESSION的文件,拿到到会话信息,如:

Request Headers

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Encoding:gzip,deflate,sdch

Accept-Language:zh-CN,zh;q=0.8

Cache-Control:max-age=0

Connection:keep-alive

Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7

Host:s.local

User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63

从而达到保存会话状态的目的。但也需要注意,如果获取到用户A登录的SESSION ID会怎么样?根据上面的逻辑,如果在请求过程中把获取到的SESSION ID一并发送给服务端,服务端根据SESSION ID读取文件,发现文件内容存在,从而判定用户为A用户,也就是获取到了A用户的用户状态,从而可能可以进行一些敏感操作。所以在会话有效期内,获取到了SESSION ID即获取到了用户的授权,这是比较危险的,以本地的一个管理系统为例,通过chrome登录后查看到客户端COOKIE如下图:

CodeIgniter配置之SESSION用法实例分析

假如如果通过某种手段获取到了SESSION ID, 可以模拟发送一个相同的COOKIE过去即可实现登录。FireFox中可添加COOKIE,打开Firebug后Cookies中新建cookie,确定之后刷新页面即可登录到管理系统,如下图:

CodeIgniter配置之SESSION用法实例分析

通常情况下可通过js获取到cookie,所以需要注意转义,防止数据展示时被执行了。接下来看看CI中的SESSION。在配置文件中有几个跟Session配置相关的参数,影响到Session的使用,它们是:

//session保存在cookie中的名称
$config['sess_cookie_name'] = 'ci_session';
//session的有效时间
$config['sess_expiration'] = 7200;
//是否关闭浏览器session失效
$config['sess_expire_on_close'] = FALSE;
//SESSION是否加密存放在COOKIE中
$config['sess_encrypt_cookie'] = FALSE;
//是否保存在数据库中
$config['sess_use_database']  = FALSE;
//存在数据库中,则数据库表名
$config['sess_table_name'] = 'ci_sessions';
//是否匹配IP
$config['sess_match_ip']  = FALSE;
//是否匹配UserAgent
$config['sess_match_useragent'] = TRUE;
//更新时间时间
$config['sess_time_to_update'] = 300;

CI自带的SESSION没有服务端文件存储,所有的信息都存放在客户端COOKIE中,当调用$this->load->library('session');时会启动一个会话,即设置一个COOKIE,COOKIE的内容如下:

Array
(
[session_id] => f05138a9513e4928cb0a57672cfe3b53
[ip_address] => 127.0.0.1
[user_agent] => Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
[last_activity] => 1386569398
[user_data] =>
)

当客户端请求时会将这些信息在HTTP头中传输给服务端,服务端从HTTP头中读取到SESSION信息。同样的可以实现会话,但该方式有很多的不确定因素,根据源码说几点吧:

1、如果日志文件中出现:The session cookie data did not match what was expected. This could be a possible hacking attempt.说明两个问题:a.sess_encrypt_cookie为false,SESSION在COOKIE中未加密存放 b.读取到COOKIE后,校验失败。涉及到加解密、参数处理的情况,容易出现匹配不通过的情况,若不通过则清空SESSION。

2、如果sess_match_ip为true,当客户端IP变化时,SESSION将校验不通过,从而清空SESSION。

3、sess_match_useragent默认为true,当客户端UserAgent变化时,校验不通过,清空SESION。简单的例子,通过IE浏览器访问,若切换到不同的IE模式,Agent不同,所以校验不通过,清空SESSION。

可以看到,当出现上面任何一种情况时,SESSION都会清空,出现登录不成功或者跳转到登录页面的情况。如果说不加密、不校验IP、UserAgent呢?因为COOKIE是存放在客户端,需要伴随HTTP请求发给服务端,一来过多的COOKIE会影响速度,对一些图片等资源来说完全时浪费带宽;二来COOKIE只能存储4K的数据,加密处理后能存放的更小。

种种的不确定因素将产生各种奇怪的问题,避免过多的纠结,果断改用其他方式吧。

希望本文所述对大家基于CodeIgniter框架的PHP程序设计有所帮助。

PHP 相关文章推荐
PHP批量生成缩略图的代码
Jul 19 PHP
php中计算时间差的几种方法
Dec 31 PHP
PHP 采集获取指定网址的内容
Jan 05 PHP
PHP添加Xdebug扩展的方法
Feb 12 PHP
PHP的swoole扩展安装方法详细教程
May 18 PHP
PHP入门教程之会话控制技巧(cookie与session)
Sep 11 PHP
PHP基于新浪IP库获取IP详细地址的方法
May 04 PHP
PHP基于面向对象实现的留言本功能实例
Apr 04 PHP
PHP的PDO预定义常量讲解
Jan 24 PHP
PDO::query讲解
Jan 29 PHP
Laravel 类和接口注入相关的代码
Oct 15 PHP
PhpStorm 2020.3:新增开箱即用的PHP 8属性(推荐)
Oct 30 PHP
CodeIgniter配置之routes.php用法实例分析
Jan 19 #PHP
CodeIgniter配置之config.php用法实例分析
Jan 19 #PHP
Codeigniter控制器controller继承问题实例分析
Jan 19 #PHP
php pthreads多线程的安装与使用
Jan 19 #PHP
PHP+swoole实现简单多人在线聊天群发
Jan 19 #PHP
PHP各种异常和错误的拦截方法及发生致命错误时进行报警
Jan 19 #PHP
[原创]CI(CodeIgniter)简单统计访问人数实现方法
Jan 19 #PHP
You might like
linux下为php添加curl扩展的方法
2011/07/29 PHP
PHP5中Cookie与 Session使用详解
2013/04/30 PHP
php生出随机字符串
2017/07/06 PHP
kindeditor 加入七牛云上传的实例讲解
2017/11/12 PHP
thinkphp5使用无限极分类
2019/02/18 PHP
PHP设计模式入门之状态模式原理与实现方法分析
2020/04/26 PHP
一个不错的应用,用于提交获取文章内容,不推荐用
2007/03/03 Javascript
给Javascript数组插入一条记录的代码
2007/08/30 Javascript
jQuery插件windowScroll实现单屏滚动特效
2015/07/14 Javascript
JavaScript类型系统之基本数据类型与包装类型
2016/01/06 Javascript
简单实现IONIC购物车功能
2017/01/10 Javascript
微信小程序 弹窗自定义实例代码
2017/03/08 Javascript
学习Vue组件实例
2018/04/28 Javascript
Vue中跨域及打包部署到nginx跨域设置方法
2019/08/26 Javascript
使用Python编写一个在Linux下实现截图分享的脚本的教程
2015/04/24 Python
Python的string模块中的Template类字符串模板用法
2016/06/27 Python
Python实现读取文件最后n行的方法
2017/02/23 Python
用virtualenv建立多个Python独立虚拟开发环境
2017/07/06 Python
python pandas中对Series数据进行轴向连接的实例
2018/06/08 Python
利用Pyhton中的requests包进行网页访问测试的方法
2018/12/26 Python
python 读txt文件,按‘,’分割每行数据操作
2020/07/05 Python
python如何使用腾讯云发送短信
2020/09/17 Python
Python做图像处理及视频音频文件分离和合成功能
2020/11/24 Python
使用css3匹配手机屏幕横竖状态
2014/01/27 HTML / CSS
惠普香港官方商店:HP香港
2019/04/30 全球购物
北欧最好的童装网上商店:Babyshop
2019/09/15 全球购物
护理专业自荐信
2013/12/03 职场文书
家庭困难证明
2014/10/12 职场文书
2014年学习部工作总结
2014/11/12 职场文书
2014年村党支部工作总结
2014/12/04 职场文书
小学生节水倡议书
2015/04/29 职场文书
文化苦旅读书笔记
2015/06/29 职场文书
2016年春节问候语
2015/11/11 职场文书
《夹竹桃》教学反思
2016/02/23 职场文书
mysql函数全面总结
2021/11/11 MySQL
Python中的程序流程控制语句
2022/02/24 Python