正确理解cookie和session机制原理

php中cookie和session是我们常用的两个变量了，一个是用户客户端的，一个用在服务器的但他们的区别与工作原理怎么样，下面我们一起来看看cookie和session机制原理吧。

cookie和session机制之间的区别和联系

　　具体来说cookie机制采用的是在客户端保持状态的方案。它是在用户端的会话状态的存贮机制，他需要用户打开客户端的cookie支持。cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力.

　　而session机制采用的是一种在客户端与服务器之间保持状态的解决方案。同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的。而session提供了方便管理全局变量的方式

　　session是针对每一个用户的，变量的值保存在服务器上，用一个sessionID来区分是哪个用户session变量,这个值是通过用户的浏览器在访问的时候返回给服务器，当客户禁用cookie时，这个值也可能设置为由get来返回给服务器。

　　就安全性来说：当你访问一个使用session的站点，同时在自己机子上建立一个cookie，建议在服务器端的SESSION机制更安全些.因为它不会任意读取客户存储的信息。

　　正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie

　　从网络服务器观点看所有HTTP请求都独立于先前请求。就是说每一个HTTP响应完全依赖于相应请求中包含的信息

　　状态管理机制克服了HTTP的一些限制并允许网络客户端及服务器端维护请求间的关系。在这种关系维持的期间叫做会话(session)。

　　Cookies是服务器在本地机器上存储的小段文本并随每一个请求发送至同一个服务器。IETFRFC2965HTTPStateManagementMechanism是通用cookie规范。网络服务器用HTTP头向客户端发送cookies，在客户终端，浏览器解析这些cookies并将它们保存为一个本地文件，它会自动将同一服务器的任何请求缚上这些cookies

　　-------------------------------------------------------------------------------------------------------------------------------------------------------------------

　　理解session机制

　　session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。

　　当程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识-称为sessionid，如果已包含一个sessionid则说明以前已经为此客户端创建过session，服务器就按照sessionid把这个session检索出来使用（如果检索不到，可能会新建一个），如果客户端请求不包含sessionid，则为此客户端创建一个session并且生成一个与此session相关联的sessionid，sessionid的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个sessionid将被在本次响应中返回给客户端保存。

　　保存这个sessionid的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于SEEESIONID，而。比如weblogic对于web应用程序生成的cookie，JSESSIONID=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764，它的名字就是JSESSIONID。

　　由于cookie可以被人为的禁止，必须有其他机制以便在cookie被禁止时仍然能够把sessionid传递回服务器。经常被使用的一种技术叫做URL重写，就是把sessionid直接附加在URL路径的后面，附加方式也有两种，一种是作为URL路径的附加信息，表现形式为http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764

　　另一种是作为查询字符串附加在URL后面，表现形式为http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764

　　这两种方式对于用户来说是没有区别的，只是服务器在解析的时候处理的方式不同，采用第一种方式也有利于把sessionid的信息和正常程序参数区分开来。

　　为了在整个交互过程中始终保持状态，就必须在每个客户端可能请求的路径后面都包含这个sessionid。

　　另一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把sessionid传递回服务器。比如下面的表单

　　在被传递给客户端之前将被改写成

　　这种技术现在已较少应用，笔者接触过的很古老的iPlanet6(SunONE应用服务器的前身)就使用了这种技术。

　　实际上这种技术可以简单的用对action应用URL重写来代替。

　　在谈论session机制的时候，常常听到这样一种误解“只要关闭浏览器，session就消失了”。其实可以想象一下会员卡的例子，除非顾客主动对店家提出销卡，否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的，除非程序通知服务器删除一个session，否则服务器会一直保留，程序一般都是在用户做logoff的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器根本不会有机会知道浏览器已经关闭，之所以会有这种错觉，是大部分session机制都使用会话cookie来保存sessionid，而关闭浏览器后这个sessionid就消失了，再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头，把原来的sessionid发送给服务器，则再次打开浏览器仍然能够找到原来的session。

　　恰恰是由于关闭浏览器不会导致session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时间时，服务器就可以认为客户端已经停止了活动，才会把session删除以节省存储空间。

　　-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

　　由JSESSIONID谈cookie与SESSION的区别和联系

　　在一些投票之类的场合，我们往往因为公平的原则要求每人只能投一票，在一些WEB开发中也有类似的情况，这时候我们通常会使用COOKIE来实现，例如如下的代码：

 

<%
   cookie[]cookies=request.getCookies(); 
　　if(cookies.lenght==0||cookies==null) 
　　doStuffForNewbie(); 
　　//没有访问过 
　　} 
　　else 
　　{ 
　　doStuffForReturnVisitor();//已经访问过了 
　　} 
%>
 

　　这是很浅显易懂的道理，检测COOKIE的存在，如果存在说明已经运行过写入COOKIE的代码了，然而运行以上的代码后，无论何时结果都是执行doStuffForReturnVisitor()，通过控制面板-Internet选项-设置-察看文件却始终看不到生成的cookie文件，奇怪，代码明明没有问题，不过既然有cookie，那就显示出来看看。

 

　　cookie[]cookies=request.getCookies(); 
 　　if(cookies.lenght==0||cookies==null) 
 　　　　out.println("Hasnotvisitedthiswebsite"); 
 　　} 
　　else
　　{ 
　　　　for(inti=0;i<cookie.length;i++) 
 　　　{ 
　　　　　　out.println("cookiename:"+cookies[i].getName()+"cookievalue:"+ 
　　　　　　cookie[i].getValue()); 
　　　　} 
　　}  

　　运行结果:

　　cookiename:JSESSIONIDcookievalue:KWJHUG6JJM65HS2K6为什么会有cookie呢,大家都知道，http是无状态的协议，客户每次读取web页面时，服务器都打开新的会话，而且服务器也不会自动维护客户的上下文信息，那么要怎么才能实现网上商店中的购物车呢，session就是一种保存上下文信息的机制，它是针对每一个用户的，变量的值保存在服务器端，通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的，默认使用cookie来实现，系统会创造一个名为JSESSIONID的输出cookie，我们叫做sessioncookie,以区别persistentcookies,也就是我们通常所说的cookie,注意sessioncookie是存储于浏览器内存中的，并不是写到硬盘上的，这也就是我们刚才看到的JSESSIONID，我们通常情是看不到JSESSIONID的，但是当我们把浏览器的cookie禁止后，web服务器会采用URL重写的方式传递Sessionid，我们就可以在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。

　　明白了原理，我们就可以很容易的分辨出persistentcookies和sessioncookie的区别了，网上那些关于两者安全性的讨论也就一目了然了，sessioncookie针对某一次会话而言，会话结束sessioncookie也就随着消失了，而persistentcookie只是存在于客户端硬盘上的一段文本（通常是加密的），而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击，自然不如sessioncookie安全了。

　　通常sessioncookie是不能跨窗口使用的，当你新开了一个浏览器窗口进入相同页面时，系统会赋予你一个新的sessionid，这样我们信息共享的目的就达不到了，此时我们可以先把sessionid保存在persistentcookie中，然后在新窗口中读出来，就可以得到上一个窗口SessionID了，这样通过sessioncookie和persistentcookie的结合我们就实现了跨窗口的sessiontracking（会话跟踪）。

　　在一些web开发的书中，往往只是简单的把Session和cookie作为两种并列的http传送信息的方式，sessioncookies位于服务器端，persistentcookie位于客户端，可是session又是以cookie为基础的，明白的两者之间的联系和区别，我们就不难选择合适的技术来开发webservice了。

后来我看一篇关于 彻底理解PHP的SESSION机制

1.session.save_handler = files

    * 1. session_start()
         1. session_start()是session机制的开始，它有一定概率开启垃圾回收,因为session是存放在文件中，
PHP自身的垃圾回收是无效的，SESSION的回收是要删文件的，这个概率是根据php.ini的配置决定的，
但是有的系统是 session.gc_probability = 0，这也就是说概率是0，而是通过cron脚本来实现垃圾回收。

            session.gc_probability = 1
            session.gc_divisor = 1000
            session.gc_maxlifetime = 1440//过期时间 默认24分钟
            //概率是 session.gc_probability/session.gc_divisor 结果 1/1000,
            //不建议设置过小，因为session的垃圾回收，是需要检查每个文件是否过期的。
            session.save_path = //好像不同的系统默认不一样，有一种设置是 "N;/path"
            //这是随机分级存储，这个样的话，垃圾回收将不起作用，需要自己写脚本

         2. session会判断当前是否有$_COOKIE[session_name()];session_name()返回保存session_id的COOKIE键值，
这个值可以从php.ini找到

            session.name = PHPSESSID //默认值PHPSESSID
            

         3. 如果不存在会生成一个session_id,然后把生成的session_id作为COOKIE的值传递到客户端.
相当于执行了下面COOKIE 操作，注意的是，这一步执行了setcookie()操作，COOKIE是在header头中发送的，
这之前是不能有输出的，PHP有另外一个函数 session_regenerate_id() 如果使用这个函数，这之前也是不能有输出的。

                setcookie(session_name(),
                          session_id(),
                          session.cookie_lifetime,//默认0
                          session.cookie_path,//默认'/'当前程序跟目录下都有效
                          session.cookie_domain,//默认为空
                          )

         4. 如果存在那么session_id = $_COOKIE[session_name];
            然后去session.save_path指定的文件夹里去找名字为'SESS_' . session_id()的文件.
            读取文件的内容反序列化，然后放到$_SESSION中
    * 2. 为$_SESSION赋值
      比如新添加一个值$_SESSION['test'] = 'blah'; 那么这个$_SESSION只会维护在内存中，当脚本执行结束的时候，
用把$_SESSION的值写入到session_id指定的文件夹中，然后关闭相关资源.      这个阶段有可能执行更改session_id的操作，
比如销毁一个旧的的session_id，生成一个全新的session_id.一半用在自定义 session操作，角色的转换上，
比如Drupal.Drupal的匿名用户有一个SESSION的，当它登录后需要换用新的session_id

        if (isset($_COOKIE[session_name()])) {
          setcookie(session_name(), '', time() - 42000, '/');//旧session cookie过期
        }
        session_regenerate_id();//这一步会生成新的session_id
       //session_id()返回的是新的值

      3.写入SESSION操作
      在脚本结束的时候会执行SESSION写入操作，把$_SESSION中值写入到session_id命名的文件中，可能已经存在，
可能需要创建新的文件。
    * 4. 销毁SESSION
      SESSION发出去的COOKIE一般属于即时COOKIE，保存在内存中，当浏览器关闭后，才会过期，假如需要人为强制过期，
比如 退出登录，而不是关闭浏览器，那么就需要在代码里销毁SESSION，方法有很多，
          o 1. setcookie(session_name(), session_id(), time() - 8000000, ..);//退出登录前执行
          o 2. usset($_SESSION);//这会删除所有的$_SESSION数据，刷新后，有COOKIE传过来，但是没有数据。
          o 3. session_destroy();//这个作用更彻底，删除$_SESSION 删除session文件，和session_id

      当不关闭浏览器的情况下，再次刷新，2和3都会有COOKIE传过来，但是找不到数据

2.session.save_handler = user

      用户自定义session处理机制，更加直观
    * session_set_save_handler('open', 'close', 'read', 'write', 'destroy', 'gc');
1.session_start(),
      执行open($save_path, $session_name)打开session操作句柄
      $save_path 在session.save_handler = files的情况下它就是session.save_path，
但是如果用户自定的话，这个两个参数都用不上，直接返回TRUE

      执行read($id)从中读取数据.//这个参数是自动传递的就是session_id(),可以通过这个值进行操作。
    * 2.脚本执行结束
      执行write($id, $sess_data) //两个参数，很简单
    * 3.假如用户需要session_destroy()
      先执行destroy.在执行第2步

      一个实际例子：

代码如下

复制代码

//SESSION初始化的时候调用       function open($save_path, $session_name)       {         global $sess_save_path;         $sess_save_path = $save_path;         return(true);       }       //关闭的时候调用       function close()       {         return(true);       }       function read($id)       {         global $sess_save_path;         $sess_file = "$sess_save_path/sess_$id";         return (string) @file_get_contents($sess_file);       }       //脚本执行结束之前，执行写入操作       function write($id, $sess_data)       {         echo "sdfsf";         global $sess_save_path;         $sess_file = "$sess_save_path/sess_$id";         if ($fp = @fopen($sess_file, "w")) {           $return = fwrite($fp, $sess_data);           fclose($fp);           return $return;         } else {           return(false);         }       }       function destroy($id)       {         global $sess_save_path;         $sess_file = "$sess_save_path/sess_$id";         return(@unlink($sess_file));       }       function gc($maxlifetime)       {         global $sess_save_path;         foreach (glob("$sess_save_path/sess_*") as $filename) {           if (filemtime($filename) + $maxlifetime < time()) {             @unlink($filename);           }         }         return true;       }

之后才真的明白session工作机制了。

当碰到一个网站需要不间断运行，但又需要调试该网站的程序错误的时候，该如何办呢？是靠经验一点点猜测，还是直接打印错误信息让其在页面输出？

下面分享一种方法同时满足这两种条件，既方便网站程序错误调试，又不影响网站的正常运行的调试方法。将下面的php语句复制到公共代码顶部即可。

代码如下	复制代码
//ini_set('error_reporting',E_ALL ^ E_NOTICE);//显示所有除了notice类型的错误信息 ini_set('error_reporting',E_ALL);//显示所有错误信息 ini_set('display_errors',off);//禁止将错误信息输出到输出端 ini_set('log_errors',On);//开启错误日志记录 ini_set('error_log','C:/phpernote');//定义错误日志存储位置

另外附加两句比较常用的排除错误信息的PHP语句：

代码如下	复制代码
@ini_set('memory_limit','500M');//设置程序可占用最大内存为500MB @ini_set('max_execution_time','180');//设置允许程序最长的执行时间为180秒

补充

die()和exit()也是我们常用的php调试一个方法

die()和exit()函数都有终止线程的作用，是php断点调试需要使用的最主要的函数，它们也是php程序员使用非常频繁的函数。然而两者又有什么区别呢？在程序调试时需要注意什么问题呢？

die()函数一般与“or”一并使用，写作“or die()”，经常看到这样的语句：

代码如下	复制代码
$file = fopen($filename, 'r') or die("抱歉，无法打开: $filename")

or在这里是这样理解的，因为在PHP中并不区分数据类型，所以$file既可以是int也可以bool，所以这样的语句不会报错。但其处理过程可能有些朋友不大明白。其实在大多数的语言中， bool or bool这样的语句中，如果前一个值为真后一个值就不会再判断了。这里也是的，所以如果fopen函数执行正确的话，会返回一个大于0的int值（这其实就是"真"），后面的语句就不会执行了。如果fopen函数执行失败，就会返回false，那么就会判断后面的表达式是否为真了。结果执行了die()之后，不管返回什么，程序都已经停止执行了，并且显示指定的出错信息，也就达到了调试的目的。就这样。

实际上，die和exit是等价的，都是用来终止当前脚本。

php手册对两者的解释如是说：
exit() 函数输出一条消息，并退出当前脚本。该函数是 die() 函数的别名。
die() 函数输出一条消息，并退出当前脚本。该函数是 exit() 函数的别名。

实例：
 

代码如下	复制代码
<?php $site = "http://www.111cn.net/"; fopen($site,"r") or exit("Unable to connect to $site"); ?>  <?php $site = "http://www.111cn.net/"; fopen($site,"r") or die("Unable to connect to $site"); ?>

var_dump()和print_r()

var_dump -- 打印变量的相关信息

void var_dump ( mixed expression [, mixed expression [, ...]] )

此函数显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。

 

提示: 为了防止程序直接将结果输出到浏览器，可以使用输出控制函数（output-control functions）来捕获此函数的输出，并把它们保存到一个例如 string 类型的变量中。 　　

代码如下	复制代码
<?php $a = array (1, 2, array ("a", "b", "c")); var_dump ($a); $b = 3.1; $c = TRUE; var_dump($b,$c); ?>

var_dump()可以输出多个变量，如：var_dump($b,$c)

print_r --  打印关于变量的易于理解的信息

bool print_r ( mixed expression [, bool return] )

注: 参数 return 是在 PHP 4.3.0 的时候加上的

print_r() 显示关于一个变量的易于理解的信息。如果给出的是 string、integer 或 float，将打印变量值本身。如果给出的是 array，将会按照一定格式显示键和元素。object 与数组类似。

记住，print_r() 将把数组的指针移到最后边。使用reset() 可让指针回到开始处。

代码如下	复制代码
<pre> <?php $a = array ('a' => 'apple', 'b' => 'banana', 'c' => array ('x','y','z')); print_r ($a); ?> </pre> 上边的代码将输出： <pre> Array ( [a] => apple [b] => banana [c] => Array ( [0] => x [1] => y [2] => z ) ) </pre>

如果想捕捉 print_r() 的输出，可使用 return 参数。若此参数设为 TRUE，print_r() 将不打印结果（此为默认动作），而是返回其输出。

例子：return 参数示例

代码如下	复制代码
<?php $b = array ('m' => 'monkey', 'foo' => 'bar', 'x' => array ('x', 'y', 'z')); $results = print_r ($b, true); //$results 包含了 print_r 的输出结果 ?>

注: 如果想在 PHP 4.3.0 之前的版本中捕捉 print_r() 的输出，可使用输出控制函数。
注: 在 PHP 4.0.4 之前的版本中，如果给出的 array 或 object 包含了直接或间接指向自身的引用，print_r() 将永远继续下去。print_r($GLOBALS) 就是一个例子，因为 $GLOBALS 自身即是全局变量，其包含了指向自身的引用。

下面的几个函数可以让你随时查看程序中任何变量的类型及其值。

代码如下

复制代码

function ss_array_as_string (＆$array, $column = 0) { $str = "Array( n"; while(list($var, $val) = each($array)){ for ($i = 0; $i < $column＋1; $i＋＋){ $str .= "＆nbsp;＆nbsp;＆nbsp;＆nbsp;"; } $str .= $var. ==>; ; $str .= ss_as_string($val, $column＋1)." n"; } for ($i = 0; $i < $column; $i＋＋){ $str .= "＆nbsp;＆nbsp;＆nbsp;＆nbsp;"; } return $str.); } function ss_object_as_string (＆$object, $column = 0) { if (empty($object－>;classname)) { return "$object"; } else { $str = $object－>;classname."( n"; while (list(,$var) = each($object－>;persistent_slots)) { for ($i = 0; $i < $column; $i＋＋){ $str .= "＆nbsp;＆nbsp;＆nbsp;＆nbsp;"; } global $$var; $str .= $var. ==>; ; $str .= ss_as_string($$var, column＋1)." n"; } for ($i = 0; $i < $column; $i＋＋){ $str .= "＆nbsp;＆nbsp;＆nbsp;＆nbsp;"; } return $str.); } } function ss_as_string (＆$thing, $column = 0) { if (is_object($thing)) { return ss_object_as_string($thing, $column); } elseif (is_array($thing)) { return ss_array_as_string($thing, $column); } elseif (is_double($thing)) { return "Double(".$thing.")"; } elseif (is_long($thing)) { return "Long(".$thing.")"; } elseif (is_string($thing)) { return "String(".$thing.")"; } else { return "Unknown(".$thing.")"; } }

本文章主要是介绍在新浪sea上做301的一个重点，后面的php 301定向我们都知道了我只是简单的加了一个判断并没有什么不同。

网站从新浪SAE搬过来，以前的域名还能访问，这样就会有两个重复的站点，不利于seo/seo.html" target="_blank">搜索引擎收录，而且以前的权重也会没有了，因此要做好链接301重定向，在SAE上打开config.yaml文件：

handle:

代码如下	复制代码
- rewrite: if(in_header["host"] ~ "^101ban.sinaapp.com" && path ~ "^(.*)$") goto "http://域名/hongzhiban$1 [L,QSA,R=301]"

这是以前的一个网站搬到本站域名下面来的301重定向。

在BAE上修改app.conf文件好像没作用，直接在主题里面，网站是基于wordpress开发，所以在主题里header.php上加上以下代码：

代码如下	复制代码
<?php if($_SERVER['SERVER_NAME']!= 'www.111cn.net'){  header('HTTP/1.1 301 Moved Permanently');  header("Location: http://www.111cn.net/");  die(); } ?>

生成验证码我们会要用到php 图形处理函数，如imagecreate,imagepng,header之类的函数，下面我们一起来看个简单的实例。

实例

代码如下

复制代码

<?php  session_start();    $im = imagecreate(80,30);//创建图片  $color = imagecolorallocate($im,rand(150,200),rand(150,200),rand(150,200));//设置图片背景  $str = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ123456789";//产生随机字符串   for($i=0;$i<5;$i++){          $code .= $str[rand(0,(strlen($str)-1))];          }  $_SESSION['code'] = $code;  for($a=0;$a<5;$a++){  //将字符串写入图片资源      $x = $a*10 + 15;      $y = rand(5,10);  // www.111cn.net     imagechar($im,5,$x,$y,$code{$a},imagecolorallocate($im,0,0,0));      }  header("Content-type:image/png");//输出图片资源  imagepng($im);  ?>

例2

代码如下

复制代码

<?php if(!isset($_SESSION)){ //判断session是否开启 session_start(); //开启就session } $width=70; //布画宽度 $height=25; //布画高度 $length=4;//验证码长度 $code=getcode($length); //获取随机字符串 $_SESSION['verfyCode'] = $code; $img=imagecreate($width,$height); $bgcolor=imagecolorallocate($img,240,240,240); $rectangelcolor=imagecolorallocate($img,150,150,150); imagerectangle($img,1,1,$width-1,$height-1,$rectangelcolor);//画边框 for($i=0;$i<$length;$i++){//循环写字 $codecolor=imagecolorallocate($img,mt_rand(50,200),mt_rand(50,128),mt_rand(50,200)); $angle=rand(-20,20); $charx=$i*15+8; $chary=($height+14)/2+rand(-1,1); imagettftext($img,15,$angle,$charx,$chary,$codecolor,'C:WINDOWSFontsSIMKAI.TTF', $code[$i]); } for($i=0;$i<20;$i++){//循环画线 $linecolor=imagecolorallocate($img,mt_rand(0,250),mt_rand(0,250),mt_rand(0,250)); $linex=mt_rand(1,$width-1); $liney=mt_rand(1,$height-1); imageline($img,$linex,$liney,$linex+mt_rand(0,4)-2,$liney+mt_rand(0,4)-2,$linecolor); } for($i=0;$i<100;$i++){//循环画点 $pointcolor=imagecolorallocate($img,mt_rand(0,250),mt_rand(0,250),mt_rand(0,250)); imagesetpixel($img,mt_rand(1,$width-1),mt_rand(1,$height-1),$pointcolor); } function getcode($length){//生成php随机数 $pattern = '1234567890ABCDEFGHIJKLOMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz ';//字符池 for($i=0;$i<$length;$i++) { $key .= $pattern{mt_rand(0,35)}; } return $key; } ob_clean(); header('Content-type:image/png'); imagepng($img); ?>

效果图如下

global定义的变量为全局变量，打个比方说吧，如果函数中的变量与函数外部同名变量在php中不是一个变量，如果我们利用global在函数中定义了这个与外部相同的变量名，那么他们就是一个变量了，下面我们一起拿几个实例说明一下。

对于PHP初学者而言，在使用global关键字时，可能会发现，在函数内global一个函数外的变量，在某些情况下却无法正确输出该变量(即global变量无效)。下面我们来看一个简单而常见的例子。

在这里，我们有a.php和b.php两个页面。

b.php页面代码如下：

代码如下	复制代码
<?php     $site_name = 'CodePlayer';     function sayHi(){         global $site_name;         echo "Hello! Welcome to $site_name !";     }     ?>

a.php页面代码如下：

代码如下	复制代码
<?php     function include_view_page(){         include 'b.php';         sayHi();                        }     include_view_page();     ?>

上面的例子非常简单，我们希望当我们访问a.php页面，能够正确显示出欢迎语句。不过，遗憾的是，当我们使用浏览器访问a.php页面却发现输出结果如下：

Hello! Welcome to !

也就是说，我们在函数include_view_page()中调用sayHi()函数时，b.php页面sayHi()函数中global的$site_name却没有被正确识别、生效。这究竟是怎么一回事呢？

实际上，当我们在函数include_view_page()中include b.php页面时，b.php页面的变量$site_name就相当于存放在include_view_page()函数内的作用域中。众所周知，在函数内global一个变量实际上是在函数内建立一个对页面全局变量的引用。而在我们的例子中，这个$site_name变量对于a.php而言，它只是include_view_page()函数内的局部变量，因此无法global该变量，我们进行相关调用时自然无法获取到正确的变量和变量值。

在php中，我们尤其需要注意类似上述在函数内include某个页面，导致该页面中变量的作用域发生改变的问题。为了避免这种情况，我们应该尽量减少多层次的include调用，也尽量不要在函数内使用include。此外，我们还可以在b.php的页面中将$site_name进行全局变量形式的声明。

代码如下	复制代码
//b.php     <?php     global $site_name;     $site_name = 'CodePlayer';     function sayHi(){         global $site_name;         echo "Hello! Welcome to $site_name !";     }     ?>

例、函数内引用全局变量

先看下面的代码：

 

代码如下	复制代码
<?php $var1 = "#####"; $var2 = "&&&&&"; function global_references($use_globals) { global $var1, $var2; if (!$use_globals) { $var2 =&$var1; //1 } else { $GLOBALS["var2"] =&$var1; //2 } } global_references(false); echo "var2 is set to '$var2'<br/>"; global_references(true); echo "var2 is set to '$var2'<br/>"; ?>

输出的结果如下：

var2 is set to '&&&&&'
var2 is set to '#####'

可见，上面的代码中：
$var2 =&$var1; //1
只对函数内部可见。
而
$GLOBALS["var2"] =&$var1; //2
在全局范围内可见。