本文目录一览：

1. php 持续验证
2. PHP如图，我想在当点击这个超链接的时候先验证是否登录，如果没有登录的话就弹出会话框。
3. php会话标识未更新?我在登陆验证之前清空了session,验证通过又开启session,可还是会话标识未更新
4. php如何将验证码写入session
5. PHP会话验证问题，怎么解决
6. php验证码是保存在数据库中还是直接在session中进行判断的？

---

php 持续验证

<?php
session_start();
if ($_SESSION['pass'] == "") {
    header("refresh:0;url=login.php");
    exit;
}
?>

一般是通过判断 session 或者 cookie
然后用 PHP 或 JS 跳转就行

PHP如图，我想在当点击这个超链接的时候先验证是否登录，如果没有登录的话就弹出会话框。

用 session 记录登录状态的话要用 ajax，先查一下登录状态，用的是 cookie 的话，直接用 JS 写一个判断代码

php会话标识未更新?我在登陆验证之前清空了session,验证通过又开启session,可还是会话标识未更新

你是清空 session 还是销毁。如果只是清空
用 session_destroy() 销毁试试

php如何将验证码写入session

session 可以翻译成会话
浏览器跟 PHP 服务器连接成功后就是一个会话，在此会话中的 session 只对此浏览器进程有效
对其他均无效。 举个例子： A
刷新了一下验证码
此时 $_SESSION["abc"] = 1234
B
在同一时间也刷新了验证码，此时 B 的 $_SESSION["abc"] = 4567
这两个 session 是同时存在的，但是占用的是不同的两块内存空间
但是他们互相独立，没有任何关系。 只要浏览器关闭或者长时间没有相应，对应的 session 就会自动释放
刷新时重新生成的验证码会覆盖到之前的，不会一直增加的

PHP会话验证问题，怎么解决

会话控制的思想就是指能够在网站中根据一个会话跟踪用户。这里整理了详细的代码,有需要的小伙伴可以参考下。

概述

HTTP 协议是无状态的，对于每个请求，服务端无法区分用户。PHP 会话控制就是给了用户一把钥匙（一个加密 session 字符串），同时这也是用户身份的一个证明，服务端存放了这把钥匙能打开的箱子（数据库，内存数据库或者使用文件做的），箱子里面装的就是用户的各个变量信息。

传统的 PHP session 使用

<?php
// page1.php 启动一个会话并注册一个变量
session_start();
$_SESSION['user_var'] = "hello,codekissyoung!";
// 这里的可以将 $_SESSION 理解为用户的箱子，实际的实现是 PHP 在服务器端生成的小文件
?>

<?php
// page2.php
session_start();
echo $_SESSION['user_var']; // 通过钥匙访问自己的箱子内的变量
$_SESSION['user_var'] = "bey,codekissyoung!";
?>

<?php
// page3.php 销毁钥匙,一般在用户注销时，访问 page3.php 文件
session_start();
session_destroy();
?>

提一个问题，钥匙呢？没看见给用户钥匙的操作啊？
这个操作是 PHP 背后帮我们做了的，自从你访问 page1.php 程序运行，session_start(); 这句时，PHP 会根据此刻的一些条件（用户 IP、浏览器号、时间等）生成一个 PHPSESSID 变量，HTTP response 回客户端后，这个 PHPSESSID 就已经存在你的浏览器 cookie 里了，每次你再次访问这个域名时，该 PHPSESSID 都会发送到服务端。这个 PHPSESSID 就是我这里说的用户钥匙了。 再一个问题，这个 PHPSESSID 的安全性，它是否容易被窃取，是否容易被伪造，是否容易被篡改？
使用 HTTPS 可以防止被篡改。不使用 PHPSESSID，而是自己生成一把秘钥给用户可以防止被伪造。至于是否容易被窃取，还真没怎么研究过。比如如果你电脑连着网，黑客入侵你电脑。

将生成的秘钥存入浏览器 cookie 中

设置 cookie：

setcookie('key', 'value', time() + 3600);

删除 cookie：

setcookie('key', '', time() - 1);

实现单点登录：session 共享

单点登录：多个子系统之间共用一套用户验证体系，在其中一处登录，就可以访问所有子系统。
试想这么一种情景：假设服务器 A 与 B 的 PHP 环境一致。用户在服务器 A 上拿到了自己的钥匙，然后他拿着这把钥匙去访问服务器 B，请问服务器 B 认识么？
很显然不能，服务器 A 生成的钥匙，服务器并不认识。
解决办法：用户无论访问 A 或 B，生成的钥匙我都存储在 C（同一个数据库，或缓存系统）中，用户再次访问 A 或 B 时，A 和 B 都去问下 C：这个用户的钥匙对么？对的话，用户就可以使用自己存在 A 或者 B 那里的箱子了。

<?php
session_regenerate_id(); // 重置 session 字符
$session_info = array('uid' => $uid, 'session' => session_encrypt(session_id() . time()));
// 下一步将 $session_info 存到 C 中
?>

下面是 PHP 通过会话控制实现身份验证实例

身份验证应用程序主体：authmain.php

<?php
// 开启一个会话
session_start();
if ((!isset($userid)) || (!isset($password))) {
    $userid = $_POST['userid'];
    $password = $_POST['password'];
    // 连接数据库
    $db_conn = new mysqli("localhost", "root", "", "auth");
    if (mysqli_connect_errno()) {
        echo '连接数据库失败：' . mysqli_connect_error();
        exit();
    }
    // 执行 SQL 查询语句
    $query = "SELECT * FROM authorized_users WHERE name='" . $userid . "' and password=sha1('" . $password . "')";
    $result = $db_conn->query($query);
    if ($result->num_rows > 0) {
        // 注册一个会话变量
        $_SESSION['valid_user'] = $userid;
    }
    // 断开数据库连接
    $db_conn->close();
}
?>

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>身份验证</title>
</head>
<body>
<h1>主页</h1>
<?php
// 判断用户是否已经登录
if (isset($_SESSION['valid_user'])) {
    echo $_SESSION['valid_user'] . ',您好，你已经登录';
    echo '<a href="logout.php">退出登录</a><br/>';
} else {
    if (isset($userid)) {
        echo '您没有登录成功';
    } else {
        echo '您还没有登录<br/>';
    }
?>
    <form method="post" action="authmain.php">
        <p>用户名：<input type="text" name="userid"/></p>
        <p>密码：<input type="password" name="password"/></p>
        <p><input type="submit" name="submit" value="登录"/></p>
    </form>
<?php
}
?>
<br/>
<a href="members_only.php">登录进入</a>
</body>
</html>

网站的有效用户检查：members_only.php

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>身份验证</title>
</head>
<body>
<h1>会员有效</h1>
<?php
// 启用会话
session_start();
if (isset($_SESSION['valid_user'])) {
    echo "<p>" . $_SESSION['valid_user'] . ",您好，您已经登录成功</p>";
    echo "<p>会员可享受折扣优惠</p>";
} else {
    echo "<p>您还没有登录成功</p>";
    echo "<p>只有登录成功才能查看此页</p>";
}
echo '<a href="authmain.php">返回主页</a>';
?>
</body>
</html>

注销会话变量并销毁会话：logout.php

<?php
// 启用会话
session_start();
$olduser = $_SESSION['valid_user'];
// 注销会话变量
unset($_SESSION['valid_user']);
// 销毁会话
session_destroy();
?>

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>退出登录</title>
</head>
<body>
<h1>您退出登录了！</h1>
<?php
if (!empty($olduser)) {
    echo '退出登录了<br/>';
} else {
    echo '您没有登录过，所以当然也不存在退出登录<br/>';
}
?>
<a href="authmain.php">返回主页</a>
</body>
</html>

---

php验证码是保存在数据库中还是直接在session中进行判断的？

首先生成一个随机的字符串包括字母、数字或汉字
然后用 PHP 中生成图片的函数把这个字符串生成图片并在页面展示出来
然后 session 存储这个字符串，没必要存到数据库中，因为就用那么一次
然后用户在前台输入后与 session 进行比较验证