CodeIgniter配置之SESSION用法实例分析


Posted in PHP onJanuary 19, 2016

本文实例讲述了CodeIgniter配置之SESSION用法。分享给大家供大家参考,具体如下:

刚使用Codeigniter时也被其中的SESSION迷惑过,后来就再也没用过CI自带的SESSION,想必还是有必要整理一下SESSION。为弄清CI中的SESSION,先来说一下PHP中SESSION是如何工作的。由于HTTP协议本身是无状态的,所以当保留某个用户的访问状态信息时,需要客户端有一个唯一标识传给服务端,这个唯一标识就是SESSION ID,存放在客户端的COOKIE中,然后服务端根据该标识读取存放的用户状态信息,达到保存会话状态的目的。PHP中启动一个会话需要执行下面语句:

session_start();

1、客户端每次请求时会有一些信息存放中HTTP头中发送给服务端,以用户第一次访问为例:

Request Headers

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Encoding:gzip,deflate,sdch

Accept-Language:zh-CN,zh;q=0.8

Cache-Control:max-age=0

Connection:keep-alive

Host:s.local

User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36

2、服务端接到请求处理后并返回给客户端,并在HTTP Response中加上添加COOKIE的请求,告诉浏览器需要设置一个COOKIE,COOKIE名为PHPSESSID,值为r887k5n4scg32d4ba34huuhmq7,如:

Response Headers

Cache-Control:no-store, no-cache, must-revalidate, post-check=0, pre-check=0

Connection:Keep-Alive

Content-Length:0

Content-Type:text/html

Date:Sun, 08 Dec 2013 12:56:56 GMT

Expires:Thu, 19 Nov 1981 08:52:00 GMT

Keep-Alive:timeout=5, max=100

Pragma:no-cache

Server:Apache/2.2.11 (Win32) PHP/5.4.7

Set-Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7; path=/

X-Powered-By:PHP/5.4.7

3、当客户端再次访问该网站的页面时,浏览器会将该COOKIE发送给服务端,服务端根据COOKIE的值去读取服务器上存放SESSION的文件,拿到到会话信息,如:

Request Headers

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Encoding:gzip,deflate,sdch

Accept-Language:zh-CN,zh;q=0.8

Cache-Control:max-age=0

Connection:keep-alive

Cookie:PHPSESSID=r887k5n4scg32d4ba34huuhmq7

Host:s.local

User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63

从而达到保存会话状态的目的。但也需要注意,如果获取到用户A登录的SESSION ID会怎么样?根据上面的逻辑,如果在请求过程中把获取到的SESSION ID一并发送给服务端,服务端根据SESSION ID读取文件,发现文件内容存在,从而判定用户为A用户,也就是获取到了A用户的用户状态,从而可能可以进行一些敏感操作。所以在会话有效期内,获取到了SESSION ID即获取到了用户的授权,这是比较危险的,以本地的一个管理系统为例,通过chrome登录后查看到客户端COOKIE如下图:

CodeIgniter配置之SESSION用法实例分析

假如如果通过某种手段获取到了SESSION ID, 可以模拟发送一个相同的COOKIE过去即可实现登录。FireFox中可添加COOKIE,打开Firebug后Cookies中新建cookie,确定之后刷新页面即可登录到管理系统,如下图:

CodeIgniter配置之SESSION用法实例分析

通常情况下可通过js获取到cookie,所以需要注意转义,防止数据展示时被执行了。接下来看看CI中的SESSION。在配置文件中有几个跟Session配置相关的参数,影响到Session的使用,它们是:

//session保存在cookie中的名称
$config['sess_cookie_name'] = 'ci_session';
//session的有效时间
$config['sess_expiration'] = 7200;
//是否关闭浏览器session失效
$config['sess_expire_on_close'] = FALSE;
//SESSION是否加密存放在COOKIE中
$config['sess_encrypt_cookie'] = FALSE;
//是否保存在数据库中
$config['sess_use_database']  = FALSE;
//存在数据库中,则数据库表名
$config['sess_table_name'] = 'ci_sessions';
//是否匹配IP
$config['sess_match_ip']  = FALSE;
//是否匹配UserAgent
$config['sess_match_useragent'] = TRUE;
//更新时间时间
$config['sess_time_to_update'] = 300;

CI自带的SESSION没有服务端文件存储,所有的信息都存放在客户端COOKIE中,当调用$this->load->library('session');时会启动一个会话,即设置一个COOKIE,COOKIE的内容如下:

Array
(
[session_id] => f05138a9513e4928cb0a57672cfe3b53
[ip_address] => 127.0.0.1
[user_agent] => Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
[last_activity] => 1386569398
[user_data] =>
)

当客户端请求时会将这些信息在HTTP头中传输给服务端,服务端从HTTP头中读取到SESSION信息。同样的可以实现会话,但该方式有很多的不确定因素,根据源码说几点吧:

1、如果日志文件中出现:The session cookie data did not match what was expected. This could be a possible hacking attempt.说明两个问题:a.sess_encrypt_cookie为false,SESSION在COOKIE中未加密存放 b.读取到COOKIE后,校验失败。涉及到加解密、参数处理的情况,容易出现匹配不通过的情况,若不通过则清空SESSION。

2、如果sess_match_ip为true,当客户端IP变化时,SESSION将校验不通过,从而清空SESSION。

3、sess_match_useragent默认为true,当客户端UserAgent变化时,校验不通过,清空SESION。简单的例子,通过IE浏览器访问,若切换到不同的IE模式,Agent不同,所以校验不通过,清空SESSION。

可以看到,当出现上面任何一种情况时,SESSION都会清空,出现登录不成功或者跳转到登录页面的情况。如果说不加密、不校验IP、UserAgent呢?因为COOKIE是存放在客户端,需要伴随HTTP请求发给服务端,一来过多的COOKIE会影响速度,对一些图片等资源来说完全时浪费带宽;二来COOKIE只能存储4K的数据,加密处理后能存放的更小。

种种的不确定因素将产生各种奇怪的问题,避免过多的纠结,果断改用其他方式吧。

希望本文所述对大家基于CodeIgniter框架的PHP程序设计有所帮助。

PHP 相关文章推荐
PHP执行linux系统命令的常用函数使用说明
Apr 27 PHP
按上下级层次关系输出内容的PHP代码
Jul 17 PHP
PHP取整数函数常用的四种方法小结
Jul 05 PHP
基于php使用memcache存储session的详解
Jun 25 PHP
PHP CURL获取返回值的方法
May 04 PHP
PHP四种基本排序算法示例
Apr 09 PHP
PHP性能分析工具XHProf安装使用教程
May 13 PHP
在Windows系统下使用PHP生成Word文档的教程
Jul 03 PHP
php遍历解析xml字符串的方法
May 05 PHP
PHP实现的装箱算法示例
Jun 23 PHP
PHP asXML()函数讲解
Feb 03 PHP
Laravel数据库读写分离配置的方法
Oct 13 PHP
CodeIgniter配置之routes.php用法实例分析
Jan 19 #PHP
CodeIgniter配置之config.php用法实例分析
Jan 19 #PHP
Codeigniter控制器controller继承问题实例分析
Jan 19 #PHP
php pthreads多线程的安装与使用
Jan 19 #PHP
PHP+swoole实现简单多人在线聊天群发
Jan 19 #PHP
PHP各种异常和错误的拦截方法及发生致命错误时进行报警
Jan 19 #PHP
[原创]CI(CodeIgniter)简单统计访问人数实现方法
Jan 19 #PHP
You might like
ThinkPHP实现二级循环读取的方法
2014/11/03 PHP
PHP常用的小程序代码段
2015/11/14 PHP
PHP yii实现model添加默认值的方法(两种方法)
2016/11/10 PHP
PHP文件系统管理(实例讲解)
2017/09/19 PHP
php中目录操作opendir()、readdir()及scandir()用法示例
2019/06/08 PHP
PHP pthreads v3使用中的一些坑和注意点分析
2020/02/21 PHP
全面解析Bootstrap表单使用方法(表单控件)
2015/11/24 Javascript
Javascript将双字节字符转换成单字节字符并计算长度
2016/06/22 Javascript
浅谈layer的iframe弹窗给里面的标签赋值的问题
2016/11/10 Javascript
jQuery 插件封装的方法
2016/11/16 Javascript
Bootstrap jquery.twbsPagination.js动态页码分页实例代码
2017/02/20 Javascript
详解闭包解决jQuery中AJAX的外部变量问题
2017/02/22 Javascript
jquery dataTable 后台加载数据并分页实例代码
2017/06/07 jQuery
Layui表格行工具事件与数据回填方法
2019/09/13 Javascript
JS实现打字游戏
2019/12/17 Javascript
详解vue组件之间的通信
2020/08/30 Javascript
浅析Python中的getattr(),setattr(),delattr(),hasattr()
2016/06/14 Python
python 简单的绘图工具turtle使用详解
2017/06/21 Python
对Python 简单串口收发GUI界面的实例详解
2019/06/12 Python
Python django框架输入汉字,数字,字符生成二维码实现详解
2019/09/24 Python
pandas实现DataFrame显示最大行列,不省略显示实例
2019/12/26 Python
基于python实现上传文件到OSS代码实例
2020/05/09 Python
python mysql中in参数化说明
2020/06/05 Python
Python 合并拼接字符串的方法
2020/07/28 Python
MoviePy常用剪辑类及Python视频剪辑自动化
2020/12/18 Python
Python实现FTP文件定时自动下载的步骤
2020/12/19 Python
HTML5 和小程序实现拍照图片旋转、压缩和上传功能
2018/10/08 HTML / CSS
爱尔兰灯和灯具网上商店:Lights.ie
2018/03/26 全球购物
交通专业个人自荐信格式
2013/09/23 职场文书
我的求职择业计划书
2014/04/04 职场文书
解除施工合同协议书
2014/10/17 职场文书
供应商食品安全承诺书
2015/04/29 职场文书
《语言的突破》读后感3篇
2019/12/12 职场文书
PHP中多字节字符串操作实例详解
2021/08/23 PHP
MySQL创建管理KEY分区
2022/04/13 MySQL
MySQL解决Navicat设置默认字符串时的报错问题
2022/06/16 MySQL