cookie、sesion

关于保存问题

如果高并发不多的话可以保存session 否则用cookie吧，session可以保存到其他服务器哦，比如其他服务器的redis memacache（没有持久化，崩了登录信息就全没了）

HTTP协议是无状态的协议，不能告诉我们是否来自同一个人的请求。

会话控制：允许服务器跟踪同一个客户端做出的连续请求。

同一台电脑上面的同一个浏览器。

cookie，服务器端给客户端的信息让客户端存储。
原理：一个用户在访问服务器的时候，服务器脚本根据业务逻辑设置cookie给用户，用户在客户端电脑特定的文件夹下创建关于这个网站的文本文件（通常和域名有关），用于记录要保存的变量，访问多个网站的时候就创建多个这样的文件，用户在访问其他该网站的页面的时候http协议会将文件中的值带给其他页面以供使用。

这个保存网站信息的文件叫cookie文件，一整套这样的机制叫做cookie机制。

文件存储的位置：
IE：C:\Documents and Settings\yanhaijing\Cookies
火狐浏览器：工具-》选项-》隐私-》使用自定义记录历史-》显示cookies

早期cookie的使用是有争议的。服务器端往客户端写文件是很敏感的。但是其实cookie是个很特殊的东西，他必须在特定的文件夹下面创建特定的文件，并且只能是文本文件。

保存cookie：
setcookie()，将一个或多个变量放到客户端的cookie中。
setcookie('名','值',保存时间秒);

setcookie("user[username]", "skygao");//可以是数组和多维数组

setcookie("user[password]", md5("123456")); //$_COOKIE["user"]["password"]

注意：
1、第三个参数保存时间如果不写就是关闭浏览器就删除该cookie，默认值是0

如何获得cookie的值
$_COOKIE

例子：

$_COOKIE['woaini']='saibeidexue';

var_dump($_COOKIE);

array(2) { ["name"]=> string(6) "values" ["woaini"]=> string(11) "saibeidexue" }

删除cookie
setcookie(名,'',time()-1) 告诉客户端这个值已经过期。

注意：
1、设置cookie的值必须使用setcookie设置不能使用$_COOKIE['']这种方式设置    而sesson才是$_SESSION['val']='value'
2、第一次在设置cookie页面下面马上打印$_COOKIE是打印不出来的。
3、cookie里面设置设置关联数组也可以设置索引数组，但是所有数组的下标必须明确给出。
4、注意设置setcookie的第四个参数cookie的有效路径。他默认的路径是当前目录的路径。/表示的是网站的根目录。你在哪里设置就在哪里删除。

cookie华联超市。

session 物美超市

原理：

客户端第一次访问网站的时候服务器会给一个不重复号码（sessionid）给客户端，客户端将sessionid放在cookie里面。在创建sessionid的同时会在服务器的指定的文件夹下面创建一个和sessionid名字一样的文件，当下面用户再次请求这个网站的其他页面的时候将session id通过cookie带过来，然后该网站服务器通过sessionid在存储session的文件夹里面找对应的文件，从文件里面获取值。，所当用户禁用cookie时sessonid就无法保存了，我们在每次刷新或者请求别的页面时，服务器都将当做第一次请求，从而分配新的sessionid，这时我们就需要在每次请求的时候都需要post或者get传递该sessionid 然后用的时候使用session_id（$_POST['session']）来告诉浏览器我需要这个sessionid'的数据，还有这条语句要在session_start()前

然后我再聊下session_id吧，它是保存在cookie中，首先session是一个只要活动就不会过期的东西，只要开启cookie，每一次会话，session_id都不会改变，我们可以根据session_id来判断用户是否是正常登陆，防止用户伪造session。然后我们也要防止session被劫持，我们可以对session_id进行再一次的加密，防止暴力破解，还有可以设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

第一次访问：

必要条件：

①启用session_start()

②php .ini设置

session.name = PHPSESSID

linux:session.save_path = "/tmp"  or  windows(phpstudy):session.save_path="D:\phpStudy\tmp\tmp"

步骤：浏览该网页-》尝试读取session.name的cookie(第一次访问无cookie是浏览器为发送该cookie从而是获取不到的)

为读取到-》创建$_SESSION变量，同时创建一个sess_liddbn1fnjj0t0ngae181ud9bt(名称为随机值)的session文件，

同时同时在session.save_path文件夹下生成和sessionid名字一样的session文件：sess_liddbn1fnjj0t0ngae181ud9bt（名称为随机值）

同时将liddbn1fnjj0t0ngae181ud9bt作为PHPSESSID的cookie值返回给浏览器端让其保存

注意：浏览器的cookie都是通过header头设置的cookie  php中的setcookie是对header的封装

header("Set-Cookie: PHPSESSID=liddbn1fnjj0t0ngae181ud9bt; path=/; domain=localhost; expires=".gmstrftime("%A, %d-%b-%Y %H:%M:%S GMT",time()+9600));

第二次访问：

浏览器存在cookie  访问时header头携带cookie值服务器，服务器尝试读取session.name的cookie(第二次访问服务器能获取到cookie了)

创建$_SESSION变量，并从相应的目录中（可以在php.ini中设置session.save_path的路径）读取sess_liddbn1fnjj0t0ngae181ud9bt文件，将字符装在入$_SESSION变量中；

--------------------------------------------------------------------------------------------------------------------------------

1、开启session（只有开启了session才能告诉PHP让它去调度服务器中的一些session机制。）

session_start();

session_start()的作用：
1、第一次时会向客户端发送session id，创建session文件。
2、以后使用时，根据http协议带过来的session id 找对应的服务器里面的session文件。

2、使用$_SESSION来存储值和读取值
$_SESSION

3、删除session
1、开启session_start();
2、清空session 数组 $_SESSION unset($_SESSION)
3、销毁session文件 session_destroy();
4、删除客户端session ID
setcookie('PHPSESSID','',time()-1,'/');

setcookie(session_name(),'',time()-1,'/');//

PHPSESSID 这个SESSION名可以改变

session_name('PHPSESSID');          设置session的名字 或者 session.name='PHPSESSID'             php.ini 设置session的名字:

session_name();                                 获得session的名字

session_id()                                        获取/设置当前会话 ID

session_id(‘qwer23456’)                     设置当前会话 ID

设置session生命周期

ini_set('session.gc_maxlifetime',3600);//设置session在服务器的存储事假
ini_set('session.cookie_lifetime',3600);//设置session在cookie中的存储时间
获取session生命周期 ini_get('session.gc_maxlifetime');

session.save_path session的保存路径

session_name()的默认值PHPSESSID

session_id（） 默认值类似 9h1bano5p1lvt6tac5nvbboac7

$_COOKIE[session_name()] 等价于$_COOKIE['PHPSESSID']
sesion_id()=session_id('PHPSESSID') OR session_id(session_name()) 默认值类似 '9h1bano5p1lvt6tac5nvbboac7';

session是通过cookie('PHPSESSID')即通过cookie(session_name())保存的  cookie保存了sessionid

thinkphp3.23 设置过期时间无效的情况

在config .php配置如下：其中name（即改变上面的默认PHPSESSID）和expire必须

 'SESSION_OPTIONS'       =>  array(
        //'name'                =>  'BJYSESSION',                    //设置session名  必须设置这个过期时间才会生效why？？
        'expire'              =>  10,                      //SESSION保存15天
        'use_trans_sid'       =>  1,                               //跨页传递
        'use_only_cookies'    =>  0,                               //是否只开启基于cookies的session的会话方式
    ), // session 配置数组 支持type name id path expire domain 等参数

php.ini session 配置

//设置用户自定义会话存储器的函数默认为files文件存储

session.save_handler = files

//session.save_path 定义了传递给存储处理器的参数。如果选择了默认的 files 文件处理器，则此值是创建文件的路径。默认为 /tmp     

;session.save_path = "/tmp"            //脚本读取/设置当前会话的保存路径session_save_path()。

//指定模块是否使用严格的会话id模式。如果启用此模式，模块不接受未初始化的会话ID。如果从浏览器发送未初始化的会话ID，则将新的会话ID发送到浏览器。通过采用严格模式的会话，保护应用程序不受会话固定的影响。默认值为0(禁用)

session.use_strict_mode = 0

// 指定是否在客户端用 cookie 来存放会话 ID。默认为 1（启用）

session.use_cookies = 1

// 指定是否在客户端仅仅使用 cookie 来存放会话 ID。。启用此设定可以防止有关通过 URL 传递会话 ID 的攻击。此设定是 PHP 4.3.0 添加的。自PHP 5.3.0开始，默认值改为1（启用）

session.use_only_cookies = 1

//指定会话名以用做 cookie 的名字。只能由字母数字组成，默认为 PHPSESSID

session.name = PHPSESSID

//指定会话模块是否在请求开始时自动启动一个会话。默认为 0（不启动）

session.auto_start = 0

以下五个参数可以通过 session_get_cookie_params() 和 session_set_cookie_params()来获取或者设置

//以秒数指定了发送到浏览器的cookie的生命周期，值为0表示“直到关闭浏览器”。默认为0。这个与程序中setCookie(“name”,”zhangsan”,time()+60);类似

①session.cookie_lifetime = 0

//指定了要设定会话 cookie 的路径。默认为 /

②session.cookie_path = /

// 指定了要设定会话 cookie 的域名。默认为无，表示根据 cookie 规范产生 cookie 的主机名

③session.cookie_domain =

指定是否仅通过安全连接发送 cookie。默认为 off。此设定是 PHP 4.0.4 添加的

④session.cookie_secure =

//将cookie标记为只能通过HTTP协议访问。这意味着JavaScript等脚本语言无法访问cookie。此设置可以有效地帮助通过XSS攻击减少身份盗窃(尽管并非所有浏览器都支持此设置)

⑤session.cookie_httponly =

//定义用来序列化／解序列化的处理器名字

session.serialize_handler = php

//session.gc_divisor 与 session.gc_probability 合起来定义了在每个会话初始化时启动 gc（garbage collection 垃圾回收）进程的概率。此概率用 gc_probability/gc_divisor 计算得来。例如 1/100 意味着在每个请求中有 1% 的概率启动 gc 进程。session.gc_probability 默认为1   session.gc_divisor 默认为 100

下面这组数据就表示每一千个用户请求或者一个用户请求1000次（调用session_start()）的时候就可能有1次触发回收机制（这里的请求是指session_start触发的次数）

session.gc_probability = 1  //触发回收机制概率分子

session.gc_divisor = 1000 //触发回收机制概率分母

//session的最大保持时间

session.gc_maxlifetime = 1440

//包含有用来检查每个 HTTP Referer 的子串。如果客户端发送了 Referer 信息但是在其中并未找到该子串，则嵌入的会话 ID 会被标记为无效。默认为空字符串

//Referer 返回载入当前文档的文档的 URL 参数是一个网址

session.referer_check =                #防止带有ID的外部URL

// 给出了一个到外部资源（文件）的路径，该资源将在会话 ID 创建进程中被用作附加的熵值资源

session.entropy_file=

session.entropy_length=0     指定了从上面的文件中读取的字节数。默认为 0（禁用）。

//指定会话页面所使用的缓冲控制方法

session.cache_limiter = nocache

以分钟数指定缓冲的会话页面的存活期，此设定对 nocache 缓冲控制方法无效。默认为 180。参见 session_cache_expire()

session.cache_expire = 180

//开启后，指定是否启用透明 SID 支持。默认为 0（禁用）  为每个url后添加了session_name=session_id。

注意：

基于 URL 的会话管理比基于 cookie 的会话管理有更多安全风险。例如用户有可能通过 email 将一个包含有效的会话 ID 的 URL 发给他的朋友，或者用户总是有可能在收藏夹中存有一个包含会话 ID 的 URL 来以同样的会话 ID 去访问站点

session.use_trans_sid = 0

指定在启用透明sid支持时重写哪些HTML标记以包含会话ID。 默认为a = href，area = href，frame = src，input = src，form = form是特殊标记。 <input hidden =“session_id”name =“session_name”>被添加为表单变量

session.trans_sid_tags=

session.hash_function = 0                            #hash方法{0:md5(128 bits),1:SHA-1(160 bits)}

session.hash_bits_per_character = 5           #当转换二进制hash数据奥可读形式是，每个字符保留位数

//指定在使用透明 SID 支持时哪些 HTML 标记会被修改以加入会话 ID

url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=fakeentry"

session.save_path="D:\phpStudy\tmp\tmp"

;session.upload_progress.enabled = On

;session.upload_progress.cleanup = On

;session.upload_progress.prefix = "upload_progress_"

;session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"

;session.upload_progress.freq =  "1%"

;session.upload_progress.min_freq = "1"