Переменная session php. Подводные камни использования сессий в PHP
14.06.2019
Сессии
позволяют установить связь между посетителем и сайтом при помощи идентификатора сессии
.
Переменные сессии и их значения хранятся только на сервере. На компьютере пользователя и на сервере хранится лишь идентификатор сессии (сгенерированный случайным образом), который позволяет нам установить связь между пользователем и сервером.
Идентификатор сессии, хранящийся на компьютере пользователя, это файл cookie .
Cookie хранится в браузере пользователя, при этом соответствующий файл создается и на сервере.
Создаем сессию
Самый простой способ открытия сессии заключается в использовании функции session_start:
// инициировать сессию
session_start();
Эта функция проверяет, существует ли идентификатор сессии, и, если нет, то создает его. Если идентификатор текущей сессии уже существует, то загружаются зарегистрированные переменные сессии.
Данная конструкция (для каждой страницы нужно вызвать один раз) должна быть вызвана до любого вывода
(это правило работает и для setcookie()), включая пробелы.
Когда создается сессия в браузер ‛прилетает“ кука следующего вида:
Но лучше просто очистить массив $_SESSION (удалить все переменные сессии):
//очистить массив $_SESSION
$_SESSION = array();
2
. Также необходимо сделать следующее:
Установить файл cookie сессии недействительным:
If (isset($_COOKIE)) { // session_name() - получаем название текущей сессии
setcookie(session_name(), "", time()-86400, "/");
}
Имя сессии ссылается на session id в куках и URL
3
. Уничтожить (завершить) сессиию
Session_destroy();
Буферизация вывода
Если у вас уже есть какой-либо вывод, вы можете воспользоваться фукцией ob_start() . Данная функция делает буферизацию вывода. Теперь вывод не будет отправлен браузеру, пока вы не отправите его принудительно при помощи функции ob_end_flush() .
";
unset($_SESSION["nick"]);
if (isset($_COOKIE)) {
setcookie(session_name(), "", time()-86400, "/"); // содержимое сессии - пустая строка
}
// setcookie сработает безошибочно, так как мы только сейчас
ob_end_flush(); // отправили браузеру вывод
session_destroy();
С другой стороны, не всегда необходимо использовать функцию ob_end_flush() , так как интерпретатор PHP автоматически очистит буфер по выполнению сценария.
Пересоздаем идентификатор сессии
При каждом входе в систему необходимо, в целях безопасности, пересоздавать идентификатор сессии. Информация в переменных сессии сохраняется, меняется лишь идентификатор сессии
. Не забывайте, информация о сессии хранится на веб-сервере в виде текста в соответствующем файле. Чтобы пересоздать идентификатор вызовите session_regenerate_id() и обновите текущую страницу или перенаправьте пользователя на другую страницу.
Механизм работы сессий
Уменьшаем время жизни сессии
По умолчанию время жизни сессии равно 0, то есть, когда пользователь закрывает окно браузера, сессия уничтожается. Иногда требуется прикончить сессию пользователя по причине отсутствия активности с его стороны. Реализовать подобное можно следующим образом (рассмотрим на примере авторизации): мы создаем переменную и сохраняем в ней время авторизации пользователя, в случае попытки обновить страницу мы сравним время с временем бездействия и в случае превышения разлогиниваем пользователя, при этом перекидываем пользователя на страницу авторизации.
$_SESSION["start"] = time(); // временная метка авторизации пользователя
$now = time(); // текущее время
$time_limit = 1000; // максимально допустимое время бездействия пользователя в сек.
if ($now > $_SESSION["start"] + $time_limit)
{
echo "Ваше время истекло";
//.......
// и удаляем сессию и ее cookie
}
else { $_SESSION["start"] = time(); } // если порядок, обновляем
Как сделать время жизни сессии вечной?
Для того чтобы клиент оставался всегда залогиненным, не надо делать время жизни сессии вечной. Сессия - на то она и сессия, чтобы начаться, когда клиент пришел, и завершиться, когда клиент ушел.
Когда клиент пришел вновь - надо начать новую сессию, но загрузить в неё данные о клиенте, основываясь на уникальной для клиента куке, которая надолго устанавливается ему при выборе галочки, например, "запомнить меня".
Работа с сессией при отключенных куках
Если для настройки session.use_trans_sid установить 1 , то при отключенных куках PHP будет передавать PHPSESSID методом GET в строке запроса.
Сессии - это на самом
деле очень просто. Надо только понимать, для чего они нужны и как
устроены. Ответим сначала на первый вопрос.
Возможно Вы знаете, что веб-сервер не
поддерживает постоянного соединения с клиентом, и каждый запрос обрабатывается,
как новый, без связи с предыдущими.
То есть, нельзя ни отследить
запросы от одного и того же посетителя, ни сохранить для него переменные между
просмотрами отдельных страниц. Вот для решения этих двух задач и были изобретены
сессии.
Собственно, сессии, если в двух словах - это механизм, позволяющий
однозначно идентифицировать браузер и создающий для этого браузера файл на
сервере, в котором хранятся переменные сеанса.
Подробно расписывать нужду
в таком механизме я не буду. Это такие случаи, как корзина
покупок в интернет магазине, авторизация, а так же, и не совсем тривиальные проблемы,
такие, например, как защита интерактивных частей сайта от спама.
В
принципе, довольно несложно сделать собственный аналог сессий, не такой
функциональный, как встроенный в PHP, но похожий по сути. На cookies и базе
данных.
При запросе скрипта смотрим, пришла ли cookies с определенным именем.
Если cookies нет, то ставим ее и записываем в базу новую строку с данными
пользователя. Если cookies есть, то читаем из базы данные. Еще одним запросом
удаляем из базы старые записи и вот у нас готов механизм сессий. Совсем
несложно. Но есть некоторые нюансы, которые делают предпочтительным
использование именно встроенного механизма сессий.
Для начала надо как-то
идентифицировать браузер. Для этого надо выдать ему уникальный идентификатор и
попросить передавать его с каждым запросом. Стыдно признаться, но когда я
впервые узнал о сессиях, я думал, что это какой-то особый механизм, некий новый
способ общения браузера с сервером - "сессии". Что идентификатор сессии
передается каким-то особым образом. Но, разочарование было жестоким...
Сессии
используют стандартные, хорошо известные способы передачи данных. Собственно,
других-то просто и нет.
Идентификатор - это обычная переменная. По умолчанию
ее имя - PHPSESSID.
Задача PHP отправить ее браузеру, чтобы тот вернул ее со
следующим запросом. Из уже упоминавшегося раздела FAQ ясно, что переменную можно
передать только двумя способами: в cookies или POST/GET запросом.
PHP
использует оба варианта.
За это отвечают две настройки в
php.ini:
session.use_cookies
- если
равно 1, то PHP передает идентификатор в cookies, если 0 - то нет. session.use_trans_sid
если равно 1, то PHP передает
его, добавляя к URL и формам, если 0 - то нет.
Менять эти и другие параметры
сессий можно так же, как и другие настройки PHP - в файле php.ini, а так же с
помощью команды ini_set()
или в файлах настройки
веб-сервера
Если включена только первая, то при старте сессии (при
каждом вызове session_start
()
) клиенту устанавливается cookies. Браузер
исправно при каждом следующем запросе эту cookies возвращает и PHP имеет
идентификатор сессии. Проблемы начинаются, если браузер cookies не возвращает. В
этом случае, не получая cookies с идентификатором, PHP будет все время стартовать
новую сессию, и механизм работать не будет.
Если включена только вторая,
то cookies не выставляется. А происходит то, ради чего, в основном, собственно, и
стоит использовать встроенный механизм сессий. После того, как скрипт выполняет
свою работу, и страница полностью сформирована, PHP просматривает ее всю и
дописывает к каждой ссылке и к каждой форме передачу идентификатора сессии. Это
выглядит примерно так:
Index
превращается в
Index
а
к формам добавляется скрытое поле
Теоретически, в наших с вами самодельных сессиях на cookies и базе,
можно самому, руками приписать ко всем ссылками передачу ид - и тогда наши
собственные сессии будут работать независимо от cookies. Но, согласитесь - приятнее,
когда эту работу делает кто-то другой? ;-)
По умолчанию в последних
версиях PHP включены обе опции. Как PHP поступает в этом случае? Кука
выставляется всегда. А ссылки автодополняются только если РНР не обнаружил cookies
с идентификатором сессии. Когда пользователь в првый раз за этот сеанс заходит
на сайт, ему ставится cookies, и дополняются ссылки. При следующем запросе, если
cookies поддерживаются, PHP видит cookies и перестает дополнять ссылки. Если cookies не
работают, то PHP продолжает исправно добавлять ид к ссылкам, и сессия не
теряется.
Пользователи, у которых работают cookies, увидят длинную ссылку с ID
только один раз.
С передачей идентификатора закончили. Теперь
осталось привязать к нему файл с данными на стороне сервера. PHP это сделает
за нас. Достаточно просто написать:
И PHP запишет в файл, связанный с этой
сессией, переменную test.
Здесь очень важное замечание.
Массив $_SESSION
-
особенный.
В нем, собственно, и находятся переменные, которые мы ходим
сделать доступными в различных скриптах.
Чтобы поместить переменную в сессию,
достаточно присвоить ее элементу массива $_SESSION.
Чтобы получить ее
значение - достаточно обратиться к тому же элементу. Пример будет чуть
ниже.
Cборкой мусора - удалением устаревших файлов PHP тоже занимается
сам. Как и кодированием данных и кучей всяких других нужных вещей. В результате
этой заботы работа с сессиями оказывается очень простой.
Вот мы, собственно,
и подошли к примеру работы сессий.
Пример очень маленький:
session_start
();
echo
"Вы обновили эту страницу "
.
$_SESSION
[
"counter"
]++.
" раз. "
;
echo
" обновить"
; ?>
Мы проверяем, есть ли у нас в сессии
переменная counter, если нет, то создаем ее со значением 0, а дальше выводим ее
значение и увеличиваем на единицу. Увеличенное значение запишется в сессию, и
при следующем вызове скрипта переменная будет иметь значение 1, и так
далее. Все очень просто.
Для того, чтобы иметь доступ к переменным
сессии на любых страницах сайта, надо написать ТОЛЬКО ОДНУ(!) строчку в самом
начале КАЖДОГО файла, в котором нам нужны сессии:
Удаление переменных из
сессии. Если у вас register_globals=off
, то достаточно
написать
unset($_SESSION
[
"var"
]);
Если же
нет, то тогда рядом
с ней надо написать:
session_unregister
("var"
);
Очень важно понимать, для чего сессии
стоит использовать, а для чего - нет.
Во-первых, помните, что сессии
можно применять только тогда, когда они нужны самому пользователю, а не для
того, чтобы чинить ему препятствия. Ведь он в любой момент может избавиться от
идентификатора!
Скажем, при проверке на то, что заполняет форму человек, а не
скрипт, пользователь сам заинтересован в том, чтобы сессия работала - иначе он
не сможет отправить форму! А вот для ограничения количества запросов к скрипту
сессия уже не годится - злонамеренный скрипт просто не будет возвращать
идентификатор.
Во-вторых. Важно четко себе представлять тот факт, что
сессия - это сеанс работы с сайтом, так как его понимает человек. Пришел,
поработал, закрыл браузер - сессия завершилась. Как сеанс в кино. Хочешь
посмотреть еще один – покупай новый билет. Стартуй новый сеанс. Этому есть и
техническое объяснение. Гарантированно механизм сессий работает только именно до
закрытия браузера. Ведь у клиента могут не работать cookies, а в этом случае,
естественно, все дополненные идентификатором ссылки пропадут с его
закрытием.
Правда, сессия может пропасть и без закрытия браузера. В силу
ограничений, рассмотренных в этой статье, механизм сессий не
может определить тот момент, когда пользователь закрыл браузер. Для этого
используется таймаут – заранее определенное время, по истечении которого мы
считаем, что пользователь ушел с сайта. По умолчанию этот параметр равен 24
минутам.
Если вы хотите сохранять пользовательскую информацию на более
длительный срок, то используйте cookies и, если надо - базу данных на сервере. В
частности, именно так работают все популярные системы авторизации:
По
факту идентификации пользователя стартует сессия и признак авторизованности
передается в ней.
- Если надо "запомнить" пользователя, то ему ставится cookies,
его идентифицирующая.
- При следующем заходе пользователя на сайт, для того,
чтобы авторизоваться, он должен либо ввести пароль, либо система сама его
опознает по поставленной ранее cookies, и стартует сессию. Новую сессию, а не
продолжая старую.
В-третьих, не стоит стартовать сессии без разбору,
каждому входящему на сайт. Это создаст совершенно лишнюю нагрузку. Не
используйте сессии по пустякам – к примеру, в счетчиках. То, что спайлог
называет сессиями, считается, конечно же, на основе статистики заходнов, а не с
помощью механизма сессий, аналогичного PHP.
К тому же, возьмем
поисковик, который индексирует ваш сайт. Если поисковый робот не поддерживает
cookies, то PHP по умолчанию будет поставлять к ссылкам PHPSESSID, что может не сильно понравится поисковику, который, по слухам, и
так-то динамические ссылки не жалует, а тут вообще при каждом заходе - новый
адрес!
Если сессии используются для ограничения доступа к закрытому разделу
сайта, то все просто поисковик и не должен его индексировать. Если же
приходится показывать одну и ту же страницу как авторизованным, так и не
авторизованным пользователям, то тут поможет такой трюк – стартовать сессию
только тем, кто ввел пароль, или тем, у кого уже стартовала сессия.
Для этого
в начало каждой страницы вместо просто session_start
()
пишем:
if (isset($_REQUEST
[
session_name
()]))
session_start
();
таким образом, Мы стартуем сессию только
тем, кто прислал идентификатор.
Соответственно, надо еще в первый раз
отправить его пользователю – в момент авторизации.
Если имя и проль верные –
пишем session_start
()
!
Самыми
распространенными ошибками, которые выдает РНР при попытке работать с сессиями,
являются такие:
Две из них,
Warning: Cannot send
session cookie - headers already sent
Warning: Cannot send session cache
limiter - headers already sent
вызваны одной и той же причиной,
решение описано в этом факе
Warning: open(/tmp\sess_SID, O_RDWR) failed: No such file or
directory (2) in full_script_path on line number
ранее она
выглядела, как
Warning: Failed to write session data
(files). Please verify that the current setting of session.save_path is correct
(/tmp)
,
если перевести ее с английского, подробно объясняет
проблему: недоступен указанный в php.ini путь к каталогу, в который пишутся
файлы сессий. Эту ошибку исправить проще всего. Просто прописать каталог,
который существует, и доступен на запись, например,
session.save_path = c:\windows\temp
И не забыть
перезагрузить Apache после этого.
Как выясняется, сообразительность
людская не имеет пределов, и поэтому я вынужден пояснить:
сообщение о третьей
ошибке (невозможно найти каталог) НЕИЗБЕЖНО приведет к появлению первых двух,
поскольку сообщение об ошибке - это вывод в браузер и после него заголовками
пользоваться нельзя. Поэтому не спешите искать преждевременный вывод, а сначала
пропишите правильный путь!
Следующей по распространенности проблемой
при работе с сессиями является тяжелое наследие register_globals. НЕ давайте
переменным скрипта имена, совпадающие с индексами массива $_SESSION!
При
register_globals=on значения будут перезаписывать друг друга, и вы
запутаетесь.
Если не работает, но и никаких сообщений не выводится, то
добавьте в самое начало скрипта две строчки, отвечающие за вывод ВСЕХ ошибок на
экран - вполне возможно, что ошибки есть, но вы их просто не
видите.
или смотрите
ошибки в error_log. Вообще, тема отображения сообщений об ошибках выходит за
рамки данной статьи, поэтому просто убедитесь хотя бы, что вы можете их видеть.
Чуть продробнее о поиске ошибок можно прочитать в этом разделе .
Если вы уверены, что
ошибок нет, но приведенный пример не работает все равно, то, возможно, в PHP не
включена передача ид через урл, а cookies по каким-то причинам не
работают
.
Смотрите, что у вас с cookies.
Вообще, если у вас "не
работают" сессии, то сначала попробуйте передать идентификатор сессии руками, то
есть, сделать ссылку и приписать к ней идентификатор:
session_start
();
if (!isset($_SESSION
[
"counter"
]))
$_SESSION
[
"counter"
]=
0
;
echo
"Вы обновили эту страницу "
.
$_SESSION
[
"counter"
]++.
" раз.
При этом следует убедится, что не
включена директива session.use_only_cookies
, которая запрещает PHP
принимать идентификатор сессии, если он был передан через URL
Если
этот пример не заработает, то проблема либо в банальных опечатках
(половина "проблем" с сессиями происходит от неправильно написанного имени
переменной), либо в слишком старой версии PHP: поддержка сессий появилась в
версии 4.0, а массив $_SESSION
- в 4.1 (До этого использовался $HTTP_SESSION_VARS
).
Если же заработает -
то проблема в cookies. Отслеживайте - что за cookies ставит сервер браузеру,
возвращает ли браузер ее. Искать очень полезно, просматривая просматривая обмен HTTP-заголовками
между браузером и сервером.
Объяснение принципа работы cookies выходит за
рамки этого и так уж слишком большого текста, но хотя бы убедитесь, что сервер
cookies с идентификатором посылает, а браузер - возвращает. И при этом
идентификаторы совпадают друг с другом =)
Установка cookies должна выглядеть,
как
(если вы запрашиваете скрипт не из корневого
каталога)
Ответ сервера должен выглядеть, как
Cookie:
PHPSESSID=prlgdfbvlg5fbsbshch6hj0cq6
Cookie: PHPSESSID=prlgdfbvlg5fbsbshch6hj0cq6;
b=b
если браузер возвращает другие cookies, кроме идентификатора
сессии.
Если пример отсюда работает, а ваш собственный код - нет, то
проблема, очевидно, не в сессиях, а в алгоритме. Ищите, где потеряли переменную,
по шагам переносите пример отсюда, отлаживайте свой скрипт.
Еще одна
проблема может возникнуть, если вы используете перенаправление через header или
навигацию с помощью JavaScript.
Дело в том, что РНР автоматически дописывает
идентификатор сессии только к ссылкам вида
, но не делает этого для header-ов, яваскрипта,
мета-тегов.
Поэтому надо добавлять идентификатор руками, например,
так:
Так
же, весьма редкая, и совершенно непонятно, откуда появляющаяся, проблема бывает
в том, что настройка session.save_handler имеет значение, отличное от files.
Если это не так - исправляйте.
Кроме cookies, механизм сессий посылает еще и заголовки, запрещающие
кэширование страниц (тот самый cache limiter). Для html это правильно и
необходимо. Но вот когда вы пытаетесь скриптом, проверяющим авторизацию,
отдать файл, то интернет эксплорер отказывается его скачивать. Именно из-за
этого заголовка. Вызов session_cache_limiter
("private"
);
перед стартом сессии должен решить
проблему.
Как это ни кажется странным, но в массиве $_SESSION
нельзя использовать числовые
индексы - $_SESSION
[
1
],
$_SESSION
[
"10"
]
- cессии работать не будут.
Где-то между версиями 4.2 и 5.0 невозможно было установить session.use_trans_sid
с помощью ini_set
()
. Начиная с
5.0 уже можно снова.
До версии 4.3.3 cookies PHP отправлял cookies только если при старте сессии в
запросе отсутстввал идентификатор. Теперь же cookies посылается при каждом вызове session_start
Есть еще вопросы или что-то непонятно - добро пожаловать на наш
Автор: V. Nagaradjane
Перевод: А.Панин
Сессии на основе кук
PHP предоставляет реализацию механизма управления сессиями на основе кук. Массив $_SESSION
используется для хранения данных сессии. PHP автоматически генерирует идентификаторы сессий и отправляет куки, содержащие эти идентификаторы клиентам. Функции PHP для управления сессиями описаны в таблице ниже.
Таблица 1: Функции PHP для управления сессиями
Стандартный процесс создания сессии начинается с вывода страницы с двумя полями ввода для имени пользователя и пароля. Следующий HTML-код используется для формирования страницы входа в систему (внешний вид этой страницы показан на Рисунке 3):
Login
Рисунок 3: Страница входа в систему
Вход в систему
Имя пользователя и пароль передаются сценарию PHP с именем login.php
. Этот сценарий использует глобальную переменную $_POST
для получения строк, введенных в поля имени пользователя и пароля. После этого устанавливается соединение с базой данных "session" и из нее извлекаются соответствующие имени пользователя идентификатор пользователя и пароль. Если имя пользователя обнаруживается, пароль, хранимый в базе данных, сравнивается с паролем, введенным пользователем. Если пароли не совпадают, попытка входа в систему отклоняется. В противном случае осуществляется вход. Ниже представлен код сценария login.php
:
User %s not found
Go to login page", $username);
return false;
}
if(mysql_result($result, 0, "pass") != $password) {
printf("
В случае, если имя пользователя и пароль корректны, вызывается функция session_start()
, которая в свою очередь отправляет куки с идентификатором сессии пользователя клиенту. Данные кук показаны на Рисунке 4. После этого становится возможным доступ к данным с помощью вызовов $_SESSION["username"]
или $_SESSION["id"]
для получения или сохранения данных сессии. В данном случае в массиве $_SESSION
сохраняются имя и идентификатор пользователя.
Рисунок 4: Куки сессии (PHPSESSID) показаны в списке кук браузера Firefox
Созданный с помощью функции session_start()
идентификатор сессии хранится в куках на машине клиента. Вы можете исследовать куки, воспользовавшись пунктами меню Firefox "Правка->Настройки", выбрав вкладку "Приватность" и нажав на ссылку "удалить отдельные куки". После этого будет выведен список кук, отсортированный по имени сервера. В данном случае в качестве имени сервера используется адрес 127.0.0.1 и в качестве имени переменной кук используется строка "PHPSESSID" - вы можете заметить ее в поле "Содержимое" ("Content") в области вывода информации. Страница приветствия, показанная после входа в систему, изображена на Рисунке 5.
Рисунок 5: Страница приветствия, выводящаяся после успешного входа
Состояние сессии
После открытия сессии вы можете проверить постоянство значений имени и идентификатора пользователя. Давайте создадим для этого небольшой сценарий с именем status.php
. Этот сценарий вызывает функцию session_start()
. Так как куки сессии доступны на клиентской машине, при вызове функции session_start()
происходит получение идентификатора сессии и загрузка соответствующих переменных сессии вместе с их значениями на стороне сервера. Следовательно, вызов $_SESSION["username"]
или $_SESSION["id"]
вернет данные, сохраненные в файле сценария login.php
. Сценарий status.php
выглядит следующим образом:
invalid session!
nLogin");
exit();
}
printf("
Welcome %s! Your id is: %d",$_SESSION["username"],$_SESSION["id"]);
printf(" Logout %s
",$_SESSION["username"]);
?>
Этот сценарий проверки состояния доступен при переходе по ссылке с именем "Check Status!" на странице приветствия. Он выводит имя и идентификатор пользователя, полученные из массива данных сессии. Таким образом, выполняется основное требование, предъявляемое к сессиям и заключающееся в постоянстве данных при переходе между различными страницами после входа в систему.
Создание защищенных страниц
Главной целью механизма сессий является создание защищенных страниц. Простой сценарий PHP, приведенный ниже, позволяет защитить изображения от публичного доступа. Файл сценария protectedimage.php
вызывает функцию require_once("status.php")
в самом начале. С помощью нее происходит однократное исполнение сценария проверки состояния. Сценарий проверки состояния проверяет работоспособность сессии и позволяет выполнение последующих функций в случае действительной сессии, либо прекращает работу сценария в ином случае. Код для защиты изображения показан ниже:
");
?>
Защищенное изображение, которое выводится после корректного открытия сессии, показано на Рисунке 6, а на Рисунке 7 показана та же самая страница (http://127.0.0.1/protectedimage.php
), загруженная без предварительного открытия сессии. Посмотрите на URL в адресной строке браузера на обоих рисунках - страница с одним и тем же URL содержит картинку в случае доступных данных сессии и запрещает доступ к картинке если данные сессии недоступны.
Рисунок 6: Картинка является защищенным содержимым страницы
Рисунок 7: Доступ к защищенному содержимому страницы запрещен если данные сессии недоступны
Завершение сессий
Теперь, когда мы разобрались в том, как осуществляется защита содержимого страниц, самое время рассмотреть операцию закрытия сессии. Операция закрытия сессии реализована в сценарии с именем logout.php
. Сценарий вызывает функцию session_destroy()
, которая удаляет куки и переменные сессии. Страница завершения сессии показана на Рисунке 8. Сценарий завершения сессии выглядит следующим образом:
Good Bye %s!
Go to login page! Get Statusn",$_SESSION["username"]);
session_destroy();
?>
Рисунок 8: Страница завершения сессии
Мы можем проверить, действительно ли сессия завершилась, вызвав файл status.php
и узнав в том, доступны ли все еще имя и идентификатор пользователя. Сообщение, приведенное на Рисунке 9, указывает на то, что сессия недействительна. Имя и идентификатор пользователя недоступны после завершения сессии. Следовательно, включение сценария status.php
в начало каждой защищенной страницы позволяет быть уверенным в том, что доступ к странице будет возможен только после корректного входа в систему, в противном случае все запросы с данным URL будут завершены в самом начале сценария.
Рисунок 9: Сообщение о состоянии сессии после ее завершения
Достоинства и недостатки механизма управления сессиями на основе кук
Механизм управления сессиями на основе кук является простейшим способом управления сессиями, в особенности по той причине, что его реализация встроена в PHP. Однако, существует веская причина, по которой следует избегать его использования на профессиональных веб-сайтах, заключающаяся в том, что при блокировке браузером приема кук данный механизм становится бесполезным. Другим недостатком данного механизма является возможность попадания данных из кук в руки злоумышленников, которая в конечном счете может привести к потере информации. Следовательно, механизм управления сессиями на основе кук полезен только для реализации сессий на веб-сайтах, не осуществляющих финансовые операции и не работающих с конфиденциальными данными.
В следующей статье будет описан механизм управления сессиями на стороне сервера с использованием таблиц базы данных.
С помощью сессии PHP
сервер идентифицирует вас и позволяет выполнять необходимые операции: изменение информации на различных веб-страницах, добавление новой информации и т.д. После завершения работы на сайте вы удаляете текущую сессию, нажав на кнопку «Выйти
»:
Что такое сессия PHP?
Сессия PHP
представляет собой способ хранения информации в переменных сессии, которые могут быть использованы для аутентификации на нескольких веб-страницах. В отличие от куков, информация сессии не хранится на компьютере пользователя. Вместо этого сессия создает файл на сервере во временном каталоге.
Эта информация, хранимая на протяжении сессии, доступна для всех веб-страниц ресурса. На сервере расположение временного файла определяется параметром session.save_path
в конфигурационном файле php.ini
.
При создании PHP-сессии
выполняются следующие три действия:
Когда создается сессия, PHP
генерирует уникальный идентификатор, который представляет собой случайную строку из 32 шестнадцатеричных чисел. Идентификатор времени жизни сессии PHP
выглядит примерно так: 9c8foj87c3jj973actop1re472e8774
;
Сервер отправляет на компьютер пользователя куки, называемые PHPSESSID
, для хранения строки уникального идентификатора сессии;
Сервер генерирует в указанном временном каталоге файл, который содержит имя уникального идентификатора сессии с префиксом sess _g. sess_9c8foj87c3jj973actop1re472e8774
.
Эти установки помогают скрипту PHP
извлекать из файла значения переменных сессии. На стороне клиента PHPSESSID
содержит идентификатор сессии. Он подтверждает имя файла, который нужно искать в определенном каталоге на стороне сервера, из него переменные сессии могут быть извлечены и использованы для проверки.
Пользователь может завершить сеанс, нажав кнопку выхода из системы, которая вызывает функцию session_destroy()
. Когда пользователь закрывает браузер, сессия PHP
закрывается автоматически. Иначе сервер завершит сессию по истечении заданного периода времени.
Синтаксис сессий в PHP
При PHP
авторизации через сессию она создается с помощью функции session_start()
и удаляется с помощью функции session_destroy()
. Глобальная переменная PHP
, известная под именем $_SESSION
, используется для установки значений переменных сессии. Сбросить все значения, установленные для переменных сессии, можно с помощью функции session_unset()
.
Операции сессии
Мы рассмотрим следующие операции с использованием сессии PHP
, а также их примеры.
Запуск сессии PHP
и установка ее переменных сессии:
новая сессия PHP
запускается с помощью функции session_start()
. После того, как сессия была создана, можно установить значения ее переменных сессии с помощью $_SESSION
. Мы установили значения для переменных “userID
” — “php_user
” и “password
” — “tutorials
”:
PHP-сессии - создание
Сессия PHP начата и переменные сессии заданы!";
?>
Результат
: в результате запуска приведенного выше PHP-кода
на сервере будет выведено следующее сообщение:
Получение значений переменных сессии PHP
: Можно получить значения переменных, которые мы установили во время последней PHP
сессии авторизации. Когда мы открываем PHP-сессию
в начале каждой страницы (session_start ()
), должен указываться код, приведенный ниже. Мы извлекаем и выводим эти значения с помощью глобальной переменной $_SESSION
:
Результат
: когда мы запустим на сервере приведенный выше PHP-код
, в результате мы получим следующее сообщение. Выводятся значения переменных сессии, которые мы установили ранее, после создания сессии PHP
.
Обновление значений переменных сессии PHP
: Во время сессии можно обновить значения ее переменных. Сначала нам нужно открыть PHP-сессию
в начале каждой страницы (session_start ()
). В приведенном ниже коде мы обновляем значения переменных “userID
” — “new_php_user
” и “password
” — “education
”.
Можно вывести массив переменных сессии и их значений с помощью функции print_r($ _SESSION)
, как показано ниже:
PHP-сессия - изменение значений ";
print_r($_SESSION);
?>
Результат
: когда мы запустим на сервере приведенный выше PHP
код, мы получим следующее сообщение. В нем будет приведен массив переменных сессии с их новыми значениями:
Удаление сессии PHP
и сброс всех значений переменных сессии: Можно сбросить сессию PHP
с помощью функции session_unset()
и удалить текущую сессию с помощью функции session_destroy()
:
PHP-сессия - удаление Сессия PHP и все переменные сессии были успешно удалены!
";
?>
Результат:
когда мы запустим на веб-сервере приведенный выше PHP-код
, в результате он выведет следующее сообщение:
Заключение
В этой статье мы рассказали о различных функциях для работы с сессиями PHP
, их синтаксисе. В отличие от куков, информация сессий хранится на стороне сервера. Благодаря этому сессии PHP
более надежны.
Приветствую, уважаемое сообщество.
Прежде всего, хочу поблагодарить за очень полезный ресурс. Не раз находил здесь множество интересных идей и практических советов.
Цель этой статьи - осветить подводные камни использования сессий в PHP. Конечно, есть документация по PHP и масса примеров, и данная статья не претендует на полное руководство. Она призвана раскрыть некоторые ньюансы работы с сессиями и оградить разработчиков от ненужной траты времени.
Самым распространенным примером использования сессий является, конечно, авторизация пользователей. Начнем с самой базовой реализации, чтобы последовательно развивать ее по мере появления новых задач.
(В целях экономии места и времени ограничимся в примерах только самими функциями работы с сессиями, вместо того, чтобы строить здесь полноценное тестовое приложение с красивой иерархией классов, исчерпывающей обработкой ошибок и прочими правильными штуками).
Function startSession() {
// Если сессия уже была запущена, прекращаем выполнение и возвращаем TRUE
// (параметр session.auto_start в файле настроек php.ini должен быть выключен - значение по умолчанию)
if (session_id()) return true;
else return session_start();
// Примечание: До версии 5.3.0 функция session_start()возвращала TRUE даже в случае ошибки.
// Если вы используете версию ниже 5.3.0, выполняйте дополнительную проверку session_id()
// после вызова session_start()
}
function destroySession() {
if (session_id()) {
// Если есть активная сессия, удаляем куки сессии,
setcookie(session_name(), session_id(), time()-60*60*24);
// и уничтожаем сессию
session_unset();
session_destroy();
}
}
Примечание:
Подразумевается, что базовые знания о сессиях PHP у читателя имеются, поэтому принцип работы функций session_start() и session_destroy() освещать здесь не будем. Задачи верстки формы входа и аутентификации пользователя не относятся к теме статьи, поэтому их мы также опустим. Напомню только, что для идентификации пользователя в каждом последующем запросе, нам необходимо в момент успешного входа сохранить в сессионной переменной (с именем userid, например) идентификатор пользователя, который будет доступен во всех последующих запросах в пределах жизни сессии. Также необходимо реализовать обработку результата нашей функции startSession(). Если функция вернула FALSE - отобразить в браузере форму входа. Если функция вернула TRUE, и сессионная переменная, содержащая идентификатор авторизованного пользователя (в нашем случае - userid), существует - отобразить страницу авторизованного пользователя (подробнее об обработке ошибок см. дополнение от 2013-06-07 в разделе о сессионных переменных).
Пока все понятно. Вопросы начинаются, когда требуется реализовать контроль отсутствия активности пользователя (session timeout), дать возможность одновременной работы в одном браузере нескольких пользователей, а также защитить сессии от несанкционированного использования. Об этом и пойдет речь ниже.
Контроль отсутствия активности пользователя встроенными средствами PHP
Первый вопрос, который часто возникает у разработчиков всевозможных консолей для пользователей - автоматическое завершение сеанса в случае отсутствия активности со стороны пользователя. Нет ничего проще, чем сделать это с помощью встроенных возможностей PHP. (Этот вариант не отличается особой надежностью и гибкостью, но рассмотрим его для полноты картины).
Function startSession() {
// Таймаут отсутствия активности пользователя (в секундах)
$sessionLifetime = 300;
if (session_id()) return true;
// Устанавливаем время жизни куки
ini_set("session.cookie_lifetime", $sessionLifetime);
// Если таймаут отсутствия активности пользователя задан, устанавливаем время жизни сессии на сервере
// Примечание: Для production-сервера рекомендуется предустановить эти параметры в файле php.ini
if ($sessionLifetime) ini_set("session.gc_maxlifetime", $sessionLifetime);
if (session_start()) {
setcookie(session_name(), session_id(), time()+$sessionLifetime);
return true;
}
else return false;
}
Немного пояснений. Как известно, PHP определяет, какую именно сессию нужно запустить, по имени куки, передаваемом браузером в заголовке запроса. Браузер же, в свою очередь, получает этот куки от сервера, куда помещает его функция session_start(). Если время жизни куки в браузере истекло, он не будет передан в запросе, а значит PHP не сможет определить, какую сессию нужно запустить, и расценит это как создание новой сессии. Параметр настроек PHP session.gc_maxlifetime, который устанавливается равным нашему таймауту отсутствия активности пользователя, задает время жизни PHP-сессии и контролируется сервером. Работает контроль времени жизни сессии следующим образом (здесь рассматривается пример хранилища сессий во временных файлах как самый распространенный и установленный по умолчанию в PHP вариант).
В момент создания новой сессии в каталоге, установленном как каталог для хранения сессий в параметре настроек PHP session.save_path, создается файл с именем sess_, где - идентификатор сессии. Далее, в каждом запросе, в момент запуска уже существующей сессии, PHP обновляет время модификации этого файла. Таким образом, в каждом следующем запросе PHP, путем разницы между текущим временем и временем последней модификации файла сессии, может определить, является ли сессия активной, или ее время жизни уже истекло. (Механизм удаления старых файлов сессий более подробно рассматривается в следующем разделе).
Примечание:
Здесь следует отметить, что параметр session.gc_maxlifetime действует на все сессии в пределах одного сервера (точнее, в пределах одного главного процесса PHP). На практике это значит, что если на сервере работает несколько сайтов, и каждый из них имеет собственный таймаут отсутствия активности пользователей, то установка этого параметра на одном из сайтов приведет к его установке и для других сайтов. То же касается и shared-хостинга. Для избежания подобной ситуации используются отдельные каталоги сессий для каждого сайта в пределах одного сервера. Установка пути к каталогу сессий производится с помощью параметра session.save_path в файле настроек php.ini, или путем вызова функции ini_set(). После этого сессии каждого сайта будут храниться в отдельных каталогах, и параметр session.gc_maxlifetime, установленный на одном из сайтов, будет действовать только на его сессии. Мы не станем рассматривать этот случай подробно, тем более, что у нас в запасе есть более гибкий вариант контроля отсутствия активности пользователя.
Контроль отсутствия активности пользователя с помощью сессионных переменных
Казалось бы, предыдущий вариант при всей своей простоте (всего пару дополнительных строк кода) дает все, что нам нужно. Но что, если не каждый запрос можно расценивать как результат активности пользователя? Например, на странице установлен таймер, который периодически выполняет AJAX-запрос на получение обновлений от сервера. Такой запрос нельзя расценивать как активность пользователя, а значит автоматическое продление времени жизни сессии является не корректным в данном случае. Но мы знаем, что PHP обновляет время модификации файла сессии автоматически при каждом вызове функции session_start(), а значит любой запрос приведет к продлению времени жизни сессии, и таймаут отсутствия активности пользователя не наступит никогда. К тому же, последнее примечание из предыдущего раздела о тонкостях работы параметра session.gc_maxlifetime может показаться кому-то слишком запутанным и сложным в реализации.
Для решения этой проблемы откажемся от использования встроенных механизмов PHP и введем несколько новых сессионных переменных, которые позволят нам контролировать время отсутствия активности пользователей самостоятельно.
Function startSession($isUserActivity=true) {
$sessionLifetime = 300;
if (session_id()) return true;
// Устанавливаем время жизни куки до закрытия браузера (контролировать все будем на стороне сервера)
ini_set("session.cookie_lifetime", 0);
if (! session_start()) return false;
$t = time();
if ($sessionLifetime) {
// Если таймаут отсутствия активности пользователя задан,
// проверяем время, прошедшее с момента последней активности пользователя
// (время последнего запроса, когда была обновлена сессионная переменная lastactivity)
if (isset($_SESSION["lastactivity"]) && $t-$_SESSION["lastactivity"] >= $sessionLifetime) {
// Если время, прошедшее с момента последней активности пользователя,
// больше таймаута отсутствия активности, значит сессия истекла, и нужно завершить сеанс
destroySession();
return false;
}
else {
// Если таймаут еще не наступил,
// и если запрос пришел как результат активности пользователя,
// обновляем переменную lastactivity значением текущего времени,
// продлевая тем самым время сеанса еще на sessionLifetime секунд
if ($isUserActivity) $_SESSION["lastactivity"] = $t;
}
}
return true;
}
Подытожим. В каждом запросе мы проверяем, не достигнут ли таймаут с момента последней активности пользователя до текущего момента, и если он достигнут - уничтожаем сессию и прерываем выполнение функции, возвращая FALSE. Если же таймаут не достигнут, и в функцию передан параметр $isUserActivity со значением TRUE - обновляем время последней активности пользователя. Все, что нам остается сделать - это определять в вызывающем скрипте, является ли запрос результатом активности пользователя, и если нет - вызывать функцию startSession со значением параметра $isUserActivity, равным FALSE.
Дополнение от 2013-06-07
Обработка результата функции sessionStart()
В комментариях обратили внимание на то, что возврат FALSE не дает полного понимания причины ошибки, и это абсолютно справедливо. Я не стал публиковать здесь подробную обработку ошибок (объем статьи и так не маленький), поскольку это не относится напрямую к теме статьи. Но учитывая комментарии, внесу ясность.
Как видно, функция sessionStart может вернуть FALSE в двух случаях. Либо сессию не удалось запустить из-за каких-то внутренних ошибок сервера (например, неправильные настройки сессий в php.ini), либо время жизни сессии истекло. В первом случае мы должны перебросить пользователя на страницу с ошибкой о том, что есть проблемы на сервере, и формой обращения в службу поддержки. Во втором случае мы должны перевести пользователя на форму входа и вывести в ней соответствующее сообщение о том, что время сессии истекло. Для этого нам необходимо ввести коды ошибок и возвращать вместо FALSE соответствующий код, а в вызывающем методе проверять его и действовать соответствующим образом.
Теперь, даже если сессия на сервере по-прежнему существует, она будет уничтожена при первом же обращении к ней, если таймаут отсутствия активности пользователя истек. И это произойдет независимо от того, какое время жизни сессий установлено в глобальных настройках PHP.
Примечание:
А что произойдет, если браузер был закрыт, и куки с именем сессии был автоматически уничтожен? Запрос к серверу при следующем открытии браузера не будет содержать куки сессии, и сервер не сможет открыть сессию и проверить таймаут отсутствия активности пользователя. Для нас это равносильно созданию новой сессии и никак не влияет на функционал и безопасность. Но возникает справедливый вопрос - а кто же тогда уничтожит старую сессию, если до сих пор ее уничтожали мы по истечении таймаута? Или она теперь будет висеть в каталоге сессий вечно? Для очистки старых сессий в PHP существует механизм под названием garbage collection. Он запускается в момент очередного запроса к серверу и чистит все старые сессии на основании даты последнего изменения файлов сессий. Но запуск механизма garbage collection происходит не при каждом запросе к серверу. Частота (а точнее, вероятность) запуска определяется двумя параметрами настроек session.gc_probability и session.gc_divisor. Результат от деления первого параметра на второй и есть вероятностью запуска механизма garbage collection. Таким образом, для того, чтобы механизм очистки сессий запускался при каждом запросе к севреру, эти параметры нужно установить в равные значения, например «1». Такой подход гарантирует чистоту каталога сессий, но, очевидно, является слишком накладным для сервера. Поэтому в production-системах по умолчанию устанавливается значение session.gc_divisor, равное 1000, что означает, что механизм garbage collection будет запускаться с вероятностью 1/1000. Если вы поэкспериментируете с этими настройками в своем файле php.ini, то сможете заметить, что в описанном выше случае, когда браузер закрывается и очищает все свои куки, в каталоге сессий какое-то время все еще остаются старые сессии. Но это не должно вас волновать, т.к. как уже было сказано, это ни коим образом не влияет на безопасность нашего механизма.
Дополнение от 2013-06-07
Предотвращение зависания скриптов из-за блокировки файла сессии
В комментариях подняли вопрос о зависании одновременно выполняющихся скриптов из-за блокировки файла сессии (как самый яркий вариант - long poll).
Для начала отмечу, что эта проблема напрямую не зависит от загруженности сервера или количества пользователей. Конечно, чем больше запросов, тем медленнее выполняются скрипты. Но это коссвенная зависимость. Проблема появляется только в пределах одной сессии, когда серверу приходит несколько запросов от имени одного пользователя (например, один из них long poll, а остальные - обычные запросы). Каждый запрос пытается получить доступ к одному и тому же файлу сессии, и если предыдущий запрос не разблокировал файл, то последующий будет висеть в ожидании.
Для сведения блокировки файлов сессий к минимуму настоятельно рекомендуется закрывать сессию путем вызова функции session_write_close() сразу после того, как выполнены все действия с сессионными переменными. На практике это означает, что не следует хранить в сессионных переменных все подряд и обращаться к ним на всем протяжении выполнения скрипта. А если и надо хранить в сессионных переменных какие-то рабочие данные, то считывать их сразу при старте сессии, сохранять в локальные переменные для последующего использования и закрывать сессию (имеется ввиду закрытие сессии с помощью функции session_write_close, а не уничтожение с помощью session_destroy).
В нашем примере это означает, что сразу после открытия сессии, проверки времени ее жизни и существования авторизованного пользователя, мы должны считать и сохранить все дополнительные необходимые приложению сессионные переменные (если такие существуют), после чего закрыть сессию с помощью вызова session_write_close() и продолжить выполнение скрипта, будь то long poll или обычный запрос.
Защита сессий от несанкционированного использования
Представим себе ситуацию. Один из ваших пользователей цепляет троян, который грабит куки браузера (в котором хранится наша сессия) и отправляет его на указанный email. Злоумышленник получает куки и использует его для подделки запроса от имени нашего авторизованного пользователя. Сервер успешно принимает и обрабатывает этот запрос, как если бы он пришел от авторизованного пользователя. Если не реализована дополнительная проверка IP-адреса, такая атака приведет к успешному взлому аккаунта пользователя со всеми вытекающими последствиями.
Почему это стало возможным? Очевидно, потому что имя и идентификатор сессии всегда одни и те же на все время жизни сессии, и если получить эти данные, то можно беспрепятственно слать запросы от имени другого пользователя (естественно, в пределах времени жизни этой сессии). Возможно, это не самый распространенный вид атак, но теоретически все выглядит вполне реализуемым, особенно учитывая, что подобному трояну даже не нужны права администратора, чтобы грабить куки браузера пользователя.
Как же можно защититься от атак подобного рода? Опять-таки, очевидно, ограничив время жизни идентификатора сессии и периодически изменяя идентификатор в пределах одной сессии. Мы можем также изменять и имя сессии, полностью удаляя старую и создавая новую сессию, копируя в нее все сессионные переменные из старой. Но на суть подхода это не влияет, поэтому для простоты ограничимся только идентификатором сессии.
Понятно, что чем меньше время жизни идентификатора сессии, тем меньше будет времени у злоумышленника, чтобы получить и применить куки для подделки запроса пользователя. В идеальном случае для каждого запроса должен использоваться новый идентификатор, что позволит свести к минимуму возможность использования чужой сессии. Но мы рассмотрим общий случай, когда время регенерации идентификатора сессии устанавливается произвольно.
(Опустим ту часть кода, которая уже рассмотрена).
Function startSession($isUserActivity=true) {
// Время жизни идентификатора сессии
$idLifetime = 60;
...
if ($idLifetime) {
// Если время жизни идентификатора сессии задано,
// проверяем время, прошедшее с момента создания сессии или последней регенерации
// (время последнего запроса, когда была обновлена сессионная переменная starttime)
if (isset($_SESSION["starttime"])) {
if ($t-$_SESSION["starttime"] >= $idLifetime) {
// Время жизни идентификатора сессии истекло
// Генерируем новый идентификатор
session_regenerate_id(true);
$_SESSION["starttime"] = $t;
}
}
else {
// Сюда мы попадаем, если сессия только что создана
// Устанавливаем время генерации идентификатора сессии в текущее время
$_SESSION["starttime"] = $t;
}
}
return true;
}
Итак, при создании новой сессии (которое происходит в момент успешного входа пользователя), мы устанавливаем сессионную переменную starttime, хранящую для нас время последней генерации идентификатора сессии, в значение, равное текущему времени сервера. Далее в каждом запросе мы проверяем, не прошло ли достаточно времени (idLifetime) с момента последней генерации идентификатора, и если прошло - генерируем новый. Таким образом, если в течение установленного времени жизни идентификатора злоумышленник, получивший куки авторизованного пользователя, не успеет им воспользоваться, поддельный запрос будет расценен сервером как неавторизованный, и злоумышленник попадет на страницу входа.
Примечание:
Новый идентификатор сессии попадает в куки браузера при вызове функции session_regenerate_id(), которая отправляет новый куки, аналогично функции session_start(), поэтому нам нет необходимости обновлять куки самостоятельно.
Если мы хотим максимально обезопасить наши сессии, достаточно установить время жизни идентификатора в единицу или же вообще вынести функцию session_regenerate_id() за скобки и убрать все проверки, что приведет к регенерации идентификатора в каждом запросе. (Я не проверял влияние такого подхода на быстродействие, и могу только сказать, что функция session_regenerate_id(true) выполняет по сути всего 4 действия: генерация нового идентификатора, создание заголовка с куки сессии, удаление старого и создание нового файла сессии).
Лирическое отступление:
Если троян окажется настолько умным, что не будет отправлять куки злоумышленнику, а сам организует отправку заранее подготовленного поддельного запроса сразу при получении куки, описанный выше метод, скорее всего, не сможет защитить от подобной атаки, потому что между временем получения трояном куки и отправкой поддельного запроса практически не будет разницы, и велика вероятность, что в этот момент не произойдет регенерации идентификатора сессии.
Возможность одновременной работы в одном браузере от имени нескольких пользователей
Последняя задача, которую хотелось бы рассмотреть - возможность одновременной работы в одном браузере нескольких пользователей. Эта возможность особенно полезна на этапе тестирования, когда нужно эмулировать одновременную работу пользователей, и желательно делать это в своем любимом браузере, а не использовать весь доступный арсенал или открывать несколько экземпляров браузера в режиме «инкогнито».
В наших предыдущих примерах мы не задавали явно имя сессии, поэтому использовалось имя, установленное в PHP по умолчанию (PHPSESSID). Это значит, что все сессии, которые создавались нами до сих пор, отправляли браузеру куки под именем PHPSESSID. Очевидно, что если имя куки всегда одинаковое, то нет возможности в пределах одного браузера организовать две сессии с одинаковым именем. Но если бы мы для каждого пользователя использовали собственное имя сессии, то проблема была бы решена. Так и сделаем.
Function startSession($isUserActivity=true, $prefix=null) {
...
if (session_id()) return true;
// Если в параметрах передан префикс пользователя,
// устанавливаем уникальное имя сессии, включающее этот префикс,
// иначе устанавливаем общее для всех пользователей имя (например, MYPROJECT)
session_name("MYPROJECT".($prefix ? "_".$prefix: ""));
ini_set("session.cookie_lifetime", 0);
if (! session_start()) return false;
...
}
Теперь осталось позаботиться о том, чтобы вызывающий скрипт передавал в функцию startSession() уникальный префикс для каждого пользователя. Это можно сделать, например, через передачу префикса в GET/POST параметрах каждого запроса или через дополнительный куки.
Заключение
В заключение приведу полный конечный код наших функций для работы с сессиями PHP, включающий все рассмотренные выше задачи.
Function startSession($isUserActivity=true, $prefix=null) {
$sessionLifetime = 300;
$idLifetime = 60;
if (session_id()) return true;
session_name("MYPROJECT".($prefix ? "_".$prefix: ""));
ini_set("session.cookie_lifetime", 0);
if (! session_start()) return false;
$t = time();
if ($sessionLifetime) {
if (isset($_SESSION["lastactivity"]) && $t-$_SESSION["lastactivity"] >= $sessionLifetime) {
destroySession();
return false;
}
else {
if ($isUserActivity) $_SESSION["lastactivity"] = $t;
}
}
if ($idLifetime) {
if (isset($_SESSION["starttime"])) {
if ($t-$_SESSION["starttime"] >= $idLifetime) {
session_regenerate_id(true);
$_SESSION["starttime"] = $t;
}
}
else {
$_SESSION["starttime"] = $t;
}
}
return true;
}
function destroySession() {
if (session_id()) {
session_unset();
setcookie(session_name(), session_id(), time()-60*60*24);
session_destroy();
}
}
Надеюсь, эта статья сэкономит немного времени тем, кто никогда особо не углублялся в механизм сессий, и даст достаточно понимания этого механизма тем, кто только начинает знакомиться с PHP.
