PHP Cookbook读书笔记 – 第11章Session和持久化

Session应该算是一个在项目开发中应用的比较多的个功能，用以跟踪用户相关信息的WEB应用程序。相对于cookie来说，可以将session理解为在服务器端保存用户数据的一种方式，不同于cookie的另一个主要特点是session是基于浏览器进程的（就是说1个用户打开2个浏览器窗口，可能会产生2个session）。默认情况下Session是保存在服务器的指定的某个目录下的，具体位置可查看PHP.INI

此图为WAMP的session保存地址

session_start();
$_SESSION['visits']++;
print 'You have visited here '.$_SESSION['visits'].' times.';

运行上面的代码，每刷新一次，visits就会增加1，但无法跨浏览器，也就意味着如果你在新窗口打开此页面，访问次数显示为1。

PHP的Session能保持用户信息的秘诀就在于PHP为每个SESSION设置一个SESSION ID，并通过cookie保存到用户端，所以用户在刷新的时候，其实是将cookie中的 SESSION ID传递到服务器，然后在根据服务器上保持的用户信息反馈到用户端。默认情况下，如果用户的浏览器禁用了cookie功能，那么，SESSION ID 将通过URL传递（此方式存在安全风险，对于重要数据应避免此情况发生）

如何避免在用户浏览器禁用了cookie时不通过URL传递？

可以通过设置PHP.INI文件只允许通过cookie来传递SESSION ID，将session.user_only_cookies设置为off（上文截图的倒数第二行），如果是无法操作PHP.INI文件的情况下可以通过PHP代码实现

 
ini_set('session.use_only_cookies', true);
session_start();

$salt     = 'YourSpecialValueHere';
$tokenstr = (str) date('W') . $salt;
$token    = md5($tokenstr);

if (!isset($_REQUEST['token']) || $_REQUEST['token'] != $token) {
    // 提示登录
    exit;
}

$_SESSION['token'] = $token;
output_add_rewrite_var('token', $token);

即便是采用了上述的措施，用户的SESSION ID保存到了cookie也还存在一种潜在风险，攻击者可能通过获取用户的cookie的数据后通过session id获取用户数据。书中采用的办法是通过session_regenerate_id();函数每30秒跟换一次session id来解决此情况，但这样做个人认为比较消耗资源。更好的办法是登录成功时将session id 与用户ip记录到服务器，那么在有效期内session id 如果与IP不一致即提示用户重新登录。

多服务器共享SESSION数据

许多的分布式应用需要多台服务器来共享一个用户的session数据，这时，如果按上面说的办法将数据保存到某台服务器的某个目录下，显然是不切实际的。最好是能将SESSION保存到数据库，这样多台应用都可以通过访问数据库的方式来访问session。PEAR包提供了此功能，代码如下，关于PEAR的内容在26章会做介绍。这里只用先了解下即可

require_once 'HTTP/Session/Container/DB.php';

$s = new HTTP_Session_Container_DB('mysql://user:password@localhost/db');
ini_get('session.auto_start') or session_start();

为了提升性能也有用共享内存来保存session数据，书中是以PHP的shmop扩展为例来实现SESSION保存，而通过memcache来实现内存共享session的解决方案应用的更加普遍一些。

SESSION中能保持对象类型的数据吗？

这是一个在书中没有提到的话题，session不能直接保存对象，但是有办法就爱那个对象保存到session中，保存前需要对数据进行序列化而在取出数据时需要反序列化，在java或.NET那种原生OO语言中不存在此问题。

$_SESSION["OO"] = serialize($userInfo);//赋值时把对象序列化一下 
$userInfo = unserialize($_SESSION["OO"]);//取值的时候再反序列化一下