PHP Cookie与Session的使用与区别

莎利亚 等级 464 0 1

Cookie****Session

Cookie和session是目前使用的两种存储机制。cookie是从一个WEB页到下一个WEB页面的数据传送方法,cookie存储在客户端;Session是让数据在页面中持续有效的一个传递方法,session存储在服务器端。

掌握了cookie与session这两个技术,在WEB网站页面间信息传递的安全性是非常必要的,也是必不可少的。只要session存在,cookie就保存这该sessionid,并在每次网页请求时将该sessionid传给服务器。

要理解session和cookie的工作机制,需要理解http的B/S工作模式。浏览器每次请求(get或post),都可以通过表单将参数传递到指定的网页。

一、Cookie管理

1、Cookie

Cookie是一种在远程浏览器端存储数据并以此跟踪和识别用户的机制。简单的说,cookie是WEB服务器暂时存储在用户硬盘上的一个文本文件,并随后被WEB浏览器读取。当用户在次访问WEB网站时,网站通过读取cookie文件记录这位访客的特定信息(如上次访问的位置、花费的时间、用户名和密码等)从而迅速做出响应,如在页面中不需要输入用户名和密码等,就可以直接登录网站等。文本文件的命令格式如下:

用户名@网站地址[数字].txt

打开”我的电脑”—C盘(系统盘)---documentsand settings—administrator—cookie

这个路径就是cookie文件存储的路径。Administrator是当前使用的用户名,也就是登录本机的用户名,administrator@sogou[1].txt是指定格式自动生成的cookie文件,index.dat是用来保储所有打开的WEB网站的信息,该文件会随着用户打开的网站随时进行更新,在cookie文件夹下的每一个cookie文件都是一个简单而又普通的文本文件,而不是程序。Cookie中的内容大多是经过了加密处理的,因此表面看起来只是一些字母和数字的组合,这些内容只有服务器才知道他们真正的含义。

Cookie常用于以下3个方面:

   记录访客的某些信息。如可以利用cookie记录用户访问网页的次数,或者记录访客曾经输入过的信息,另外,某些网站可以应用cookie自动记录访客上次登录的用户名。

   在页面之间传递变量。浏览器并不会保存当前页面上任何变量信息的,当页面被关闭,页面上的任何变量信息将随之消失。如果用户声明一个变量id=8,要把这个变量传递到另一个页面,可以把变量id以cookie形式保存下来,然后在下一页通过读取该cookie来获取变量的值。

   将所查看的internet页礁在cookie临时文件夹中,这样可以提高以后浏览的速度。

2、创建Cookie

在PHP中通过setcookie函数创建Cookie。在创建之前必须了解的是,cookie是HTTP头标的组成部分,而头标必须在页面其他内容之前发送,它必须最先输出,即使在setcookie()函数前输出一个HTML标记或echo语句,甚至一个空行都会导致程序出错。语法如下:

Bool setcookie(string name[,string value[,int expire [,stringpath [,string domain [,int secure]]]]])

该函数的参数说明如表:

Name  cookie的变量名  可以通过$\_cookie\[“cookiename”\]调用变量名cookiename的cookie

Value  cookie的变理名  该值保存在客户端不能用来保存敏感数据。可以通过$\_cookie\[“value”\]获取名为values的值

Expire  cookie的失效时间,expire是标准的UNIX时间标记,可以用time()函数或mktime()函数获取,单位为秒。

Path    cookie在服务器端的有效路径  如果该参数设置为“/”,则它就在整个domain下的/11目录及子目录内有效。默认是当前目录。

Domain  cookie有效的域名  如果要使cookie在mrbccd.com域名下的所有子域都有效,应该设置为mrbccd.com

Secure 指明cookie是否通过仅通过安全的https,值为0或1,如果值为1,则cookie只能在HTTPS连接上有效,如果值为默认值0,则cookie在HTTP和HTTPS连接上均有效。

例:

<?php

setcookie("TMCcookie","www.baidu.com");

setcookie("TMCcookie","www.baidu.com",time()+60);   //设置cookie有效时间为60秒

setcookie("TMCcookie",$value,time()+3600,"/cs/","baidu.com",1);

?>

3、**读取**Cookie

在PHP中可以直接通过超级全局数据$_cookie[]来读取浏览器端的cookie值。

例:

  <?php

if(!isset($\_COOKIE\["visittime"\])){    //检测cookie文件是否存在,如果不存在,往下执行

setcookie("visittime",date("y-m-d H:i:s"));   //设置一个cookie变量

echo "欢迎第一次访问网站。";   

}else{

setcookie("visittime",date("y-m-dH:i:s"),time()+60);   //如果存在,设置上带cookie失效时间的变量。

echo "您上一次访问的时间为:".$\_COOKIE\["visittime"\];      

echo "<br>";

}

echo "您本次访问网站的时间为:".date("y-m-dH:i:s");

?>

过60秒后我们刷新,则显示的是第一次访问的时间。

如果未设置cookie的到期时间,则在关闭浏览器时自动删除cookie数据。如果为cookie设置了到期时间,浏览器将会记住cookie数据,即使用户重新启动计算机,只要没有到期,再访问网站时也会获得数据信息。

4、**删除**Cookie

当cookie被创建后,如果没有设置它的失效时间,其cookie文件会在关闭浏览器时被自动删除。如果想在关闭浏览器之前删除cookie文件,方法有两种:一种是使用setcookie()函数删除,另一种是使用浏览器手动删除cookie。

(**1**)、使用setcookie()函数删除cookie

删除cookie和创建cookie的方式基本类似,删除cookie也使用setcookie()函数。删除cookie只需要将setcookie()函数中第二个参数设置为空值,将第三个参数cookie的过期时间设置为小于系统的当前时间即可。

例如:将cookie的过期时间设置为当前时间减1秒,代码如下:

            setcookie("name","",time()-1);

time()函数返回以秒表示的当前时间戳,把过期时间减1秒就会得到过去的时间,从而删除cookie. 注意:把过期时间设置为0,可以直接删除cookie.

(2)、使用浏览器手动删除ookie

在使用cookie时,cookie自动生成一个文本文件存储在IE浏览器的cookies临时文件夹中。使用浏览器删除cookie文件是非常便捷的方法。

打开一个页面-----工具-----internet选项,在“常规”选项卡------删除cookie按钮,弹出“删除temporaryinternet files文件夹中的所有cookies吗?”-----单击“确定”,即可成功删除全部cookie文件。

5、Cookie的生命周期

如果cookie不设定时间,就表示它的生命周期为浏览器会话的期间,只要关闭IE浏览器,cookie就会自动消失。这种cookie被称为会话cookie,一般不保存在硬盘上,而是保存在内存中。

如果设置了过期时间,那么浏览器会把cookie保存到硬盘中,再次打开IE浏览器时会被依然有效,直到它的有效期超时。

虽然cookie可以长期保存在客户端浏览器中,但也不是一成不变的。因为浏览器允许最多存储300个cookie文件,而且每个cookie文件支持最大容量为4KB,每个域名最多支持20个cookie,如果达到限制,浏览器会自动地随机删除cookies.

6、Cookie的综合应用

在进行网站开发时,都需要制作一个计数器来记录网站的访问量,以此来吸引更多的访客关注网站。

例:

  <?php

if(!empty($\_COOKIE\["counter"\])){

$counter=$\_COOKIE\["counter"\]+1;

}

else{

$counter=1;

}

setcookie("counter",$counter,time()+2678400);

echo "您是第".$counter."位访客。";

?>

关闭浏览器时也不会停止记数,除非C:\Documents and Settings\Administrator\LocalSettings\Temporary Internet Files将文件进行删除才可以。

计数器的实现方法有多种。

二、Session管理

对比cookie,会话文件中保存的数据是在PHP脚本中以变量的形式创建的,创建的会话变量在生命周期(20分钟)中可以被跨页的请求所引用。另外,session是存储在服务器端的会话,相对安全,并且不像cookie那样有存储长度的限制。

1、**了解**session

Session被译成中文为“会话”,其本义是指有始有终的一系列动作/消息,如打电话。

在计算机专业术语中,session是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间。因此,session实现上是一个特定的时间概念。

2、**Session**的功能

Session在WEB技术中占有非常重要的份量。由于网页是一种无状态的连接程序。因此无法得知用户的浏览状态。因此必须通过session记录用户的有关信息,以供用户再次以此身份对WEB服务器提供要求时作确认。例,在电子商务网站中,通过session记录用户登录的信息,以及用户所购买的商品,如果没有session,那么用户就会每进入一个页面都登录一遍用户名和密码。

另外,session会话适用于存储用户的信息量比较小的情况。如果用户需要存储的信息量相对较少,并用对存储内容不需要长期存储,那么使用session把信息存储到服务器端比较适合。

3、创建会话

创建一个会话需要通过以下几个步骤实现:

启动会话--------注册会话-------使用会话-------删除会话

1)启动会话

启动会话的方式有两种:一种是使用session_start()函数,另一种使用session_register()函数为会话登录一个变量来隐含地启动会话。

通常,session_start()函数在页面开始位置调用,然后会话变量被登录到数据$_session。

其语法格式为:

      Bool session_start(void);

使用session_start()函数之前浏览器不能有任何输出,否则会产生类似以下的错误提示。

如果想使用session_satrt()这个全局变量来存储你的数据的话得在php.ini文件中配置你的信息:
       session.save_path = "D:/program files/php/temp"

例:

    <?php

echo "呵呵……";

session\_start();

?>

运行结果如下**:**

呵呵……

Warning: session_start()[function.session-start]:Cannot send session cache limiter - headers already sent (output started atC:\webserver\wwwroot\11.php:1) in C:\webserver\wwwroot\11.php on line 3

<?php
  session\_start(); 
?>

注意:该代码前不要有任何的代码,如果新建的文件默认有的内容,要删除。

Session_register()函数用来为会话登录一个变量来隐含地启动会话,但要求设置php.ini文件的选项,将register_globals指令设置为ON,然后重新启动apache服务器。

 使用session\_register()函数时,不需要调用session\_start()函数,PHP会在注册变量之后隐含地调用session\_start()函数。

2)**注册会话**

会话变量被启动后,全部保存在数组$_session中。通过数组$_session创建一个会话变量很容易,只要直接给该数组添加一个元素即可。

例:

3)使用会话

首先需要判断会话变量是否有一个会话ID存在,如果不存在,就创建一个,并且使用其能够通过全局数组$_SESSION进行访问。如果已经存在,则将这个已注册的会话变量载入以供用户使用。

例:

   <?php

session\_start();

$\_SESSION\["admin"\]=id;

if(!empty($\_SESSION\["admin"\])){

  $myvalue=$\_SESSION\["admin"\];

   echo $myvalue;

}else{

echo "该会话不存在。";

}

?>

4) 删除会话

删除会话的方法主要有删除单个会话、删除多个会话和结束当前会话的3种。

a) 删除单个会话

删除会话变量,同数组的操作一样,直接注销$_SESSION数组的某个元素即可。

例如:注销$_SESSION[“admin”]变量,可以使用unset()函数,代码如下:

unset($\_SESSION\["admin"\]);

b) 删除多个会话

如果想要一次注销所有的会话变量,可以将一个空的数组赋值给$_SESSION,代码如下:

  $\_SESSION=array();

c)结束当前的会话

如果整个会话已经结束,首先应该注销所有的会话变量,然后使用session_destroy()函数清除结束当前的会话,并清空会话中的所有资源,彻底销毁session,代码如下:

    session\_destroy();

4、Session的综合应用----通过session判断用户的操作权限

大多数网站的开发过程中,需要对管理员和普通用户对操作网站的权限进行划分。

例:**13.php**

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN""http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html;charset=gb2312" />

<title>用session判断用户操作权限</title>

<script type="text/javascript"language="javascript">

function check(){  

if(form1.user.value==""){

    alert("请输入用户名,谢谢!");

       form1.user.focus();

       return false;

}

if(form1.pwd.value==""){

   alert("请输入密码,谢谢!");

   form1.pwd.focus();

   return false;

}

form1.submit();

}

</script>

</head>

<body>

<form name="form1" method="post"action="check\_13.php">

用户名:<input type="text"name="user" size="20" /><br /><br />

密&nbsp;&nbsp;码:<inputtype="password" name="pwd" size="21" /><br/><br />

<input type="submit" name="submit"value="提交" onclick="check()"/>

<input type="reset" name="reset"value="重置" />

</form>

</body>

</html>

**check\_13.php**

<?php

session\_start();

$\_SESSION\[user\]=$\_POST\[user\];

$\_SESSION\[pwd\]=$\_POST\[pwd\];

?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN""http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type"content="text/html; charset=gb2312" />

<title>check\_13.php</title>

</head>

<body>

<?php

if($\_SESSION\[user\]==""){

echo"<script> alert('请选择正确的登录途径!');history.back();</script>";

}

if($\_SESSION\[user\]=="123" &&$\_SESSION\[pwd\]=="123"){

   echo "您是管理员用户<br>";

   echo "<ahref='admin.php'>请进入管理员用户管理页面。</a>";

}else{

  echo "您是普通用户";

  echo "<ahref='user.php'>请进入普通用户管理页面。</a>";

}

?>

<?php

session\_start();

unset($\_SESSION\[user\]);

unset($\_SESSION\[pwd\]);

session\_destroy();

?>

</body>

</html>

三、**CookieSession**的比较

它们最大的区别是Session是将Session的信息保存在服务器上,并通过一个Sessionid来传递客户的信息,同时服务器接收到Sessionid后,根据这个ID来提供相关的Session资源;cookie是将所有的信息以文本文件的形式保存在客户端,并由浏览器进行管理和维护。

由于session为服务器存储,所以远程用户无法修改session文件的内容。而cookie为客户端存储,所以session要比cookie安全得多。当然使用session还有很多优点,如控制容易,可以按照用户自定义存储(存储于数据库)。

cookie工作机理:

a) 服务器通过随着响应发送一个http的Set-Cookie头,在客户机中设置一个cookie(多个cookie要多个头).

b) 客户端自动向服务器端发送一个http的cookie头,服务器接收读取.

HTTP/1.x 200 OK

X-Powered-By: PHP/5.2.1

Set-Cookie: TestCookie=something from somewhere; path=/

Expires: Thu, 19 Nov 2007 18:52:00 GMT

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

Pragma: no-cache

Content-type: text/html

这一行实现了cookie功能,收到这行后

Set-Cookie: TestCookie=something from somewhere; path=/

浏览器将在客户端的磁盘上创建一个cookie文件,并在里面写入:

TestCookie=something from somewhere;

/

这一行就是我们用setcookie('TestCookie','something from somewhere','/');的结果.也就是用header('Set-Cookie: TestCookie=something from somewhere; path=/');的结果.

会话

访问网站的来客会被分配一个唯一的标识符,即所谓的会话 ID。它要么存放在客户端的 cookie,要么经由 URL 传递。

会 话支持允许用户注册任意数目的变量并保留给各个请求使用。当来客访问网站时,PHP 会自动(如果 session.auto_start 被设为 1)或在用户请求时(由 session_start() 明确调用或 session_register() 暗中调用)检查请求中是否发送了特定的会话ID。如果是,则之前保存的环境就被重建。

sessionID的传送

1 通过cookie传送sessin ID

 使用session\_start()调用session,服务器端在生成session文件的同时,生成session ID哈希值和默认值为PHPSESSID的session name,并向客户端发送变量为(默认的是)PHPSESSID(session name),值为一个128位的哈希值.服务器端将通过该cookie与客户端进行交互.

session变量的值经php内部系列化后保存在服务器机器上的文本文件中,和客户端的变量名默认情况下为PHPSESSID的coolie进行对应交互.

 即服务器自动发送了http头:header('Set-Cookie: session\_name()=session\_id(); path=/');

即setcookie(session_name(),session_id());

当从该页跳转到的新页面并调用session\_start()后,PHP将检查与给定ID相关联的服务器端存贮的session数据,如果没找到,则新建一个数据集.

2 通过URL传送session ID

只有在用户禁止使用cookie的时候才用这种方法,因为浏览器cookie已经通用,为安全起见,可不用该方法.

xxx,也可以通过POST来传递session值.inttest

对于访问量大的站点,用默认的session存贮方式并不适合,目前最优的方法是用数据库存取session.

收藏
评论区

相关推荐

php指的是什么?
PHP(全称:Hypertext Preprocessor,即“PHP:超文本预处理器”)是一种开源的通用计算机脚本语言,尤其适用于网络开发并可嵌入H
PHP对时间轮算法的简单实现
什么是时间轮算法? 把任务放到它需要被执行的时刻,然后等待时针转到这个时刻,取出该时刻的任务,执行并将任务从该时刻删除(消费)。 解决了什么问题? 以商品为例,如何实现商品的过保质期自动失效? 1:我们可以每分钟执行一个定时任务,扫描全表过期时间大于当前时间的商品,进行失效处理。(当然,也可以将该任务细化成秒级的) 2:商品添加时,将该商品的
PHP程序员必须会的 45 个PHP 面试题(第三部分)
Q25:此代码将返回什么?解释结果。 主题:PHP 难度:⭐⭐⭐ 考虑代码。结果将返回什么? $something 0; echo ('password123' $something) ? 'true' : 'false'; 答案是true。您永远不要将其用于字符串比较。即使将字符串与字符串进行比较,PHP也会将它们隐式转
PHP程序员必须会的 45 个PHP 面试题(第二部分)
Q20: require\_once 和 require 在什么场景下使用? Topic: PHP Difficulty: ⭐⭐⭐ require\_once() 作用与 require() 的作用是一样的,都是引用或包含外部的一个 php 文件,require\_once() 引入文件时会检查文件是否已包含,如果已包含,不再包含 (requir
使用PHP生成网站Sitemap,Laravel风格
PHP生成网站Sitemap,包含默认、分类、文章、标签、profile等 <?php namespace AppLibs; use AppS
nginx安全配置
安全是一个重要的问题,必须引起注意。 1. nginx介绍 nginx本身不能处理PHP(http://www.ttlsa.com/php/ "php"),它只是个web服务器,当接收到请求后,如果是php请求,则发给php解释器处理,并把结果返回给客户端。nginx一般是把请求发fastcgi管理进程处理,fastcgi管理进程选择cgi子
为什么要从php 加入到 go 的潮流
为何我要说加入go开发是一种潮流,尤其是对于php开发人员,我加入了很多go的开发群或者爱好群,发现大部分人都是从php过来的,原本google开发golang是想让更多的c/c人员来使用。 PHP 语言作为当今最热门的网站程序开发语言,它也是我多年来一直使用的语言,它具有成本低、速度快、可移植性好、 内置丰富的函数库等优点,因此被越来越多的企业应用于网站
go语言web开发框架_Iris框架讲解(六):Session的使用和控制
在实际的项目开发中,我们会经常有业务场景使用到Session功能。在iris框架中,也为我们提供了方便使用,功能齐全的Session模块。Session模块的源码目录为kataras/iris/sessions包。 Session与Cookie的区别 在学习web开发过程中,我们总会和session和cookie打交道。本节课我们学习sesion相关的
cookie和session的详解与区别
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  C
PHP学习笔记之PHP的函数应用
目录一、函数的定义 二、自定义函数 三、函数的工作原理和结构化编程 四、PHP变量的范围 五、声明及应用各种形式的PHP函数 六、递归函数 七、使用自定义函数库 一、函数的定义一个被命名的、独立的代码段,它执行特定的任务,并可能给调用它的程序返回一个值。定义中的各部分如下: 函数是被命名的:每个函数都
PHP Cookie与Session的使用与区别
Cookie与SessionCookie和session是目前使用的两种存储机制。cookie是从一个WEB页到下一个WEB页面的数据传送方法,cookie存储在客户端;Session是让数据在页面中持续有效的一个传递方法,session存储在服务器端。掌握了cookie与session这两个技术,在WEB网站页面间信息传递的安全性是
JWT 认证方案学习
定义JWT (JSON WEB TOKEN) 是一种安全通讯标准,它定义了一种紧凑自包含的方式,用于在各方之间安全的传输 JSON 对象。常见应用场景是API之间的认证通讯。 一般的用户认证流程 1、请求方发送账户密码到服务器,验证账户可用性。 2、验证成功,生成 session,保存在服务端。 3、服务端返回一个 s
PHP 微信公众号消息加解密
公众号配置根据提示设置即可:【图中信息均为无意义数据,仅供参考。注意服务器地址需可接收 GET/POST 两种请求】 AESKey 直接点一下随机生成即可,Token 可以生成一个 UUID 再把 UUID 进行 MD5 一次即可。 接收关注事件消息示例 请求参数校验这一步根据项目情况,可供参考:(Lumen 框架)php$valida
JarvisOJ——Web-wp
写在前面 这几天 BUU 平台机房出故障了,回来把 JarvisOJ 平台已经做过的和剩下的 web 全部写一遍 wp 吧,很怀念大一那时候跟鹏神晚上通宵干题的时光,一转眼都过了一年了 PORT51需要用公网的一台服务器访问其 51 端口curl localport 51 http://web.jarvisoj.com:32770/ LOCALHOST添加
dubbo网关演进之路
本文已收录 https://github.com/lkxiaolou/lkxiaolou 欢迎star。 背景随着公司业务的飞速发展,基于php的模块化架构难以支持未来业务的发展: php模块化架远远落后于行业主流架构(微服务–云原生),而php生态的服务治理开源组件匮乏,研发投入过大 杭州php人才匮乏,导致新鲜血液招聘困难 基于php的多进程架构难以支撑