PHP用Session實現使用者登陸功能

2022-12-23 14:00:03

對比起Cookie，Session 是儲存在伺服器端的對談，相對安全，並且不像 Cookie 那樣有儲存長度限制。由於 Session 是以文字檔案形式儲存在伺服器端的，所以不怕遠端使用者修改 Session 內容。實際上在伺服器端的 Session 檔案，PHP 自動修改 Session 檔案的許可權，只保留了系統讀和寫許可權，而且不能通過 ftp 修改，所以安全得多。

因為使用者端 Cookie 中的資訊是有可能被修改的。假如你儲存 $admin 變數來表示使用者是否登陸，$admin 為 true 的時候表示登陸，為 false 的時候表示未登入，在第一次通過驗證後將 $admin 等於 true 儲存在 Cookie，下次就不用驗證了，這樣對麼？錯了，假如有人偽造一個值為 true 的 $admin 變數那不是就立即取的了管理許可權麼？非常的不安全。

而 Session 就不同了，我們可以單純儲存一個 $admin 變數來判斷是否登陸，首次驗證通過後設定 $admin 值為 true，以後判斷該值是否為 true，假如不是，轉入登陸介面，這樣就可以減少很多資料庫操作了。

一、啟動 Session 對談，並建立一個 $admin 變數：

<?php
//  啟動 Session
session_start();
//  宣告一個名為 admin 的變數，並賦空值。
$_SESSION["admin"] = null;
?>

二、驗證提交資料

假設資料庫儲存的是使用者名稱和 md5 加密後的密碼：

<?php
//  表單提交後...
$posts = $_POST;
//  清除一些空白符號
foreach ($posts as $key => $value) {
    $posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts["username"]; 

$query = "SELECT `username` FROM `user` WHERE `password` = '$password' AND `username` = '$username'";
//  取得查詢結果
$userInfo = $DB->getRow($query); 

if (!empty($userInfo)) {
    //  當驗證通過後，啟動 Session
    session_start();
    //  註冊登陸成功的 admin 變數，並賦值 true
    $_SESSION["admin"] = true;
} else {
    die("使用者名稱密碼錯誤");
}
?>

三、判斷是否登陸：

<?php
//  防止全域性變數造成安全隱患
$admin = false;
//  啟動對談，這步必不可少
session_start();
//  判斷是否登陸
if (isset($_SESSION["admin"]) && $_SESSION["admin"] === true) {
    echo "您已經成功登陸";
} else {
    //  驗證失敗，將 $_SESSION["admin"] 置為 false
    $_SESSION["admin"] = false;
    die("您無權存取");
}
?>

四、如果要登出系統怎麼辦？銷燬 Session 即可。

<?php
session_start();
//  這種方法是將原來註冊的某個變數銷燬
unset($_SESSION['admin']);
//  這種方法是銷燬整個 Session 檔案
session_destroy();
?>

註釋：session_destroy() 將重置 session，您將失去所有已儲存的 session 資料。

五、設定生存週期

Session 能否像 Cookie 那樣設定生存週期呢？有了 Session 是否就完全拋棄 Cookie 呢？我想說，結合 Cookie 來使用 Session 才是最方便的。

Session 是如何來判斷使用者端使用者的呢？它是通過 Session ID 來判斷的，什麼是 Session ID，就是那個 Session 檔案的檔名，Session ID 是隨機生成的，因此能保證唯一性和隨機性，確保 Session 的安全。一般如果沒有設定 Session 的生存週期，則 Session ID 儲存在記憶體中，關閉瀏覽器後該 ID 自動登出，重新請求該頁面後，重新註冊一個 Session ID。

如果使用者端沒有禁用 Cookie，則 Cookie 在啟動 Session 對談的時候扮演的是儲存 Session ID 和 Session 生存期的角色。

通過Cookie設定 Session 的生存期：

<?php
session_start();
//  儲存一天
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");
?>

通過函數 session_set_cookie_params(); 來設定 Session 的生存期的，該函數必須在 session_start() 函數呼叫之前呼叫：

<?php
//  儲存一天
$lifeTime = 24 * 3600;
session_set_cookie_params($lifeTime);
session_start();
$_SESSION["admin"] = true;
?>

假設使用者端禁用 Cookie 怎麼辦？沒辦法，所有生存週期都是瀏覽器程序了，只要關閉瀏覽器，再次請求頁面又得重新註冊 Session。那麼怎麼傳遞 Session ID 呢？通過 URL 或者通過隱藏表單來傳遞，PHP 會自動將 Session ID 傳送到 URL 上，URL 形如：http://www.test.cn/index.php?PHPSESSID= bba5b2a240a77e5b44cfa01d49cf9669，其中 URL 中的引數 PHPSESSID 就是 Session ID了，我們可以使用 $_GET 來獲取該值，從而實現 Session ID 頁面間傳遞。

<?php
//  儲存一天
$lifeTime = 24 * 3600;
//  取得當前 Session 名，預設為 PHPSESSID
$sessionName = session_name();
//  取得 Session ID
$sessionID = $_GET[$sessionName];
//  使用 session_id() 設定獲得的 Session ID
session_id($sessionID); 

session_set_cookie_params($lifeTime);
session_start();
$_SESSION['admin'] = true;
?>

手動設定 Session 檔案的儲存路徑，session_save_path() 就提供了這樣一個功能。我們可以將 Session 存放目錄指向一個不能通過 Web 方式存取的資料夾，當然，該資料夾必須具備可讀寫屬性。

<?php
//  設定一個存放目錄
$savePath = './session_save_dir/';
//  儲存一天
$lifeTime = 24 * 3600;
session_save_path($savePath);
session_set_cookie_params($lifeTime);
session_start();
$_SESSION['admin'] = true;
?>

到此這篇關於PHP用Session實現使用者登陸功能的文章就介紹到這了,更多相關PHP用Session登陸內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com！