一、Session简介
Session是Web服务器上一种维护客户端状态的机制。它的实现原理就是在服务器上存储一个键值对(key-value)的集合,在客户端第一次访问时分配一个唯一的session ID,之后客户端每一次访问服务器时,都会通过HTTP请求头部将session ID带上。这样一来服务器就可以基于session ID查找对应的session信息了。
二、Session的应用场景
Session主要用于解决以下问题:
1、用户登录认证。在用户登录成功后将其用户信息存入session中,以便在其它页面使用。
2、购物车。将用户选购的商品信息存入session中,在确认订单时将session中的信息保存到数据库中。
3、验证码。生成验证码后将其值存入session中,每次输入时用于验证。
三、Session的使用方法
1、开启session。在使用session前必须调用session_start()函数,该函数告诉PHP该页面将会使用session。
session_start();
2、设置session值。可以使用$_SESSION全局数组将数据存入session中。
$_SESSION["username"] = "John Doe";
$_SESSION["age"] = 30;
3、获取session值。可以使用$_SESSION全局数组获取session中的值。
echo "Username is ".$_SESSION["username"].".";
4、销毁session。一般情况下在用户退出登录时需要销毁session信息。
session_destroy();
四、Session的设置
1、session_save_path()函数可以用于设置session的存储路径。默认情况下session的存储路径是服务器默认的临时目录。
session_save_path('/tmp/session');
2、session_name()函数可以用于设置session的名称,默认情况下session的名称是PHPSESSID。
session_name('mysession');
3、session_set_cookie_params()函数可以用于设置session的cookie参数,如过期时间、域名、路径等。
session_set_cookie_params(3600, '/myPath', '.mydomain.com');
五、Session的安全性
1、使用session_regenerate_id()函数可以重新生成新的session ID,以增强session的安全性。
session_regenerate_id(true);
2、可以使用session_set_save_handler()函数来自定义session的处理函数,从而增强session的安全性。
class MySessionHandler implements SessionHandlerInterface {
//...
}
$handler = new MySessionHandler();
session_set_save_handler($handler);
六、Session的并发处理
在高并发场景下,session的并发处理成为一个需要重点关注的问题。主要解决方案有:
1、使用数据库来存储session数据。可以使用mysqli或PDO等数据库扩展来存储session数据,这样既可以避免session存储空间不足问题,同时也可以解决并发处理问题。
2、使用分布式缓存来存储session数据。将session数据存储在分布式缓存中,如Redis、Memcached等,这样可以实现session的共享和负载均衡。
七、Session的注意点
1、session数据的安全性。如果session中保存了用户的敏感信息,一定要保证session数据的安全性。如使用https协议传输session ID、对session ID进行加密等。
2、session的生命周期问题。session默认会在用户关闭浏览器后立即失效,如果需要增加session的生命周期,可以通过session.cookie_lifetime来设置cookie的过期时间,或手动设置session的生命周期。
ini_set('session.cookie_lifetime', 3600);//设置cookie的过期时间为一小时
session_set_cookie_params(3600);
3、session和跨域问题。由于同一域名下的网页可以共享session,因此涉及到跨域访问时会取消session的共享。可以使用iframe、jsonp或CORS等机制来解决该问题。
