ession 的工作机制:

为每个访问者创建一个唯一的 id (UID),并基于这个 UID 来存储变量。UID 存储在 cookie 中,亦或通过 URL 进行传导。

PHPSESSIONID的生产算法原理:

1、hash_func = md5 / sha1 #可由php.ini配置

2、PHPSESSIONID = hash_func(客户端IP + 当前时间(秒)+ 当前时间(微妙)+ PHP自带的随机数生产器)

从以上hash_func(*)中的数据采样值的内容分析,多个用户在同一台服务器时所生产的PHPSESSIONID重复的概率极低。

另外,黑客如果要猜出某一用户的PHPSESSIONID,则他也必须知道“客户端IP、当前时间(秒、微妙)、随机数”等数据方可模拟。

php.ini配置如下:

1

2

3

4

5

6

7

8

9

; Select a hash function for use in generating session ids.

; Possible Values

;  0 (MD5 128 bits)

;  1 (SHA-1 160 bits)

; This option may also be set to the name of any hash function supported by

; the hash extension. A list of available hashes is returned by the hash_algos()

; function.

; http://php.net/session.hash-function

session.hash_function=0

PHP Session工作原理

以下以cookie传输PHPSESSID描述。

1、客户端请求一个php的服务端地址。

2、服务端收到请求,此次php脚本中包含session_start()

3、服务端会生成一个PHPSESSID。(默认session存储方式为session.save_handler=files,文件形式存储。生成的session文件名规则即为sess_PHPSESSID,session文件存在session.save_path中。)

4、服务端响应首部Response Headers:Set-Cookie:PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50; path=/。在客户端生成一个cookie保存此PHPSESSID

5、此时,客户端的cookie里面包含了PHPSESSID,之后客户端的每次请求首部Request HeadersCookie:PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50。服务端之后每次接收到客户端的请求就都能根据这个PHPSESSID来找到服务端的session文件,通过对这个session文件的读写操作即实现了session的超全局变量属性。

如果客户端禁用了cookie,由于无法使用cookie传递PHPSESSID,那么客户端每次请求,服务端都会重新建立一个session文件,而无法通过通过PHPSESSID来重用session文件,所以session也就失效了。

这种情况可以设置session.use_trans_sid来传输PHPSESSID,具体实现方式与cookie的区别就是将PHPSESSID通过HTTP的GET传输。每次请求的地址里面都会补全PHPSESSID参数”url?PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50”来实现。

PHPcli模式通过session_id()使用session

可以通过它来获取当前会话的PHPSESSID,也可以通过它来设置当前的会话PHPSESSID。

PHPcli模式下可以通过设置这个,达到使用session的目的,非常方便。

例如:

1

2

3

4

5

<?php

// session_id('vingbrv8m64asth0nhplu9gmb7');

session_start();

$_SESSION[md5(rand(100,999))] = rand(100,999);

var_dump($_SESSION);

明确的学习思路能更高效的学习

点击加入该群学习

最新文章

  1. nignx软件安装与调试
  2. odoo定时任务
  3. PHP基础12:数组
  4. XML Parser Error on line 1: 前言中不允许有内容, Mybatis 生成代码
  5. Javascript 笔记与总结(1-2)词法分析
  6. NOIP2009 靶形数独
  7. Android屏幕保持唤醒状态
  8. 记一次ios使用OAuth 2.0写的接口获取token的小错
  9. C# 与MySQL
  10. C# 读取xml节点类容
  11. Halloc内存分配器
  12. js-获取两个字符串日期的相隔周
  13. API创建员工
  14. Mac上常用工具总结
  15. 利用系统函数模拟实现nginx 系统脚本启动的特殊颜色专业效果
  16. 牛客练习赛42(A,B)
  17. 【读书笔记】iOS-方法声明
  18. Linux中如何安装RAR
  19. day 72 crm(9) 客户关系系统,整体实现,以及自定制路由内容,客户关系梳理
  20. NP难问题求解综述

热门文章

  1. angularjs通过ng-bind-html指令和$sce服务绑定html
  2. pycharm的使用(day03复习整理)
  3. Texture to texture2D以及texture2D像素反转
  4. django-表单之获取表单信息(二)
  5. 关于dt分组、计数、排序的实例
  6. SpringBootCLI 命令行工具
  7. (JavaScript) 字符串转16进制
  8. SpringBoot集成JWT实现权限认证
  9. Win10 连接CentOS 8 的Docker容器中 SqlServer数据库
  10. CSS(5)---通俗讲解盒子模型