PHP session实现跨子域的几种办法

跨域问题在cooike及session中我们经常会使用到了，不过php对于子域处理是比较简单的了，我们有许多的一些办法，下面来整理一下。

Session主要分两部分：

一个是Session数据，该数据默认情况下是存放在服务器的tmp文件下的，是以文件形式存在。

另一个是标志着Session数据的Session Id，Session ID，就是那个 Session 文件的文件名，Session ID 是随机生成的，因此能保证唯一性和随机性，确保 Session 的安全。一般如果没有设置 Session 的生存周期，则 Session ID 存储在内存中，关闭浏览器后该 ID 自动注销，重新请求该页面后，重新注册一个 session ID。如果客户端没有禁用 Cookie，则 Cookie 在启动 Session 会话的时候扮演的是存储 Session ID 和 Session 生存期的角色。

两个不同的域名网站，想用同一个Session，就是牵扯到Session跨域问题！

默认情况下，各个服务器会各自分别对同一个客户端产生 SESSIONID，如对于同一个用户浏览器，A 服务器产生的 SESSION ID 是 11111111111，而B 服务器生成的则是222222。另外，PHP 的 SESSION数据都是分别保存在本服务器的文件系统中。想要共享 SESSION 数据，那就必须实现两个目标：

一个是各个服务器对同一个客户端产生的SESSION ID 必须相同，并且可通过同一个 COOKIE 进行传递，也就是说各个服务器必须可以读取同一个名为 PHPSESSID 的COOKIE；另一个是 SESSION 数据的存储方式/位置必须保证各个服务器都能够访问到。这两个目标简单地说就是多服务器(A、B服务器)共享客户端的 SESSION ID，同时还必须共享服务器端的 SESSION 数据。

有三种解决方法：

1.只要在php页面的最开始（要在任何输出之前，并且在session_start()之前）的地方进行以下设置

ini_set('session.cookie_path', '/');
ini_set('session.cookie_domain', '.mydomain.com');
ini_set('session.cookie_lifetime', '1800');

2.在php.ini里设置

session.cookie_path = /
session.cookie_domain = .mydomain.com
session.cookie_lifetime = 1800

3.在php页面最开始的地方（条件同1）调用函数

session_set_cookie_params(1800 , '/', '.mydomain.com');

session 有个Session_id 作为session的惟一标志。

要实现Session子域，实际上是在同一个浏览器中在访问两个A 和B子域时，其session是相同的。

由于session都是保存在服务器端，如何让两台服务器识别这两个请求是由一个浏览器发出的呢？

Cookie是保存在客户端的，服务器通常通过Cookie来识别不同的客户端，因此，可以使用Cookie来保存Session_id, 并将该Cookie设置为父域。

例如，当访问a.sso.com 时，就将session_id 保存在Cookie中。当访问b.sso.com时，则将session_id  从Cookie中取出来，

并通过session_id 去某个持久化容器中获取Session。

例如，当访问a.sso.com 时，就将session_id 保存在Cookie中。当访问b.sso.com时，则将session_id  从Cookie中取出来，

并通过session_id 去某个持久化容器中获取Session。
 

在本实验中，使用PHP来作为实验语言。

当访问a.sso.com时，则将通过

 session_start();
  $_SESSION['person'] = "SBSBSBS";
  $session_id = session_id();
 setcookie('name',$session_id,time()+3600*24,'/','SSO.com');

  将session_id 保存在cookie中。

由于在PHP中，session是一个数组，PHP有 serialize() 函数，将数组序列化

$session_value = serialize($_SESSION);
 

然后将$session_value 保存在数据库中。

 在访问b.sso.com时，则从cookie中获取到session_id，然后到数据库中根据session_id将 经过序列化过的session 获取出来

接着就可以对该session进行操作，实现session 跨子域。

 
由于将session保存在数据库中，存取都是比较费时的操作，因此可以将session保存在缓存中，例如memcached 或者redis中，

这样对session的存取操作就比较快速了。

使用缓存还有个好处就是，通常session有一定得存活时间，如果存在数据库中，还需要保存该session的存活时间，在取出session时，还需要判断其是否失效。

使用缓存存放session就可以在存放的时候设置其存活时间，减少了取出后的失效判断这一个过程。

session多级目录存放用到的不多，但有一些朋友会如此来设置了，但小编发现多级目录存放有时会碰到无效的问题，这里我们来看看。

当一个目录下有很多文件时，服务器的处理性能会变低，php默认的session仅仅存放在/tmp目录下，未进行分级，当有一定的访问量时，就存在性能问题了。

首先，修改 php.ini的 session.save_path 选项修改如下：
session.save_path = “2;/tmp/session” （去掉前面分号）
表示把session存放在 “/tmp/session” 目录下，并且分成 2 级子目录

一般情况下2级目录就够了，就能够处理相当大的访问量了

———————–

其他注释

session.hash_function = 0
; 生成SID的散列算法。SHA-1的安全性更高一些
; 0: MD5 (128 bits)
; 1: SHA-1 (160 bits)
; 建议使用SHA-1。

session.hash_bits_per_character = 4
; 指定在SID字符串中的每个字符内保存多少bit，
; 这些二进制数是hash函数的运算结果。
; 4: 0-9, a-f
; 5: 0-9, a-v
; 6: 0-9, a-z, A-Z, “-“, “,”
; 建议值为 5

————————–

php源码文件中ext/session/mod_files.sh文件，可以辅助生成目录，就不用自己在写脚本了

#! /bin/sh
 
if test "$2" = ""; then
echo "usage: $0 basedir depth"
exit 1
fi
 
if test "$2" = "0"; then
exit 0
fi
 
hash_chars="0 1 2 3 4 5 6 7 8 9 a b c d e f"
if test "$3" -a "$3" -ge "5"; then
hash_chars="$hash_chars g h i j k l m n o p q r s t u v"
if test "$3" -eq "6"; then
hash_chars="$hash_chars w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z - ,"
fi
fi
 
for i in $hash_chars; do
newpath="$1/$i"
mkdir $newpath || exit 1
sh $0 $newpath `expr $2 - 1` $3
done
设置为可执行之后，运行以下命令来创建哈希目录：
#cd /root/soft_install/php-5.3.5/ext/session
#./mod_files.sh /tmp/session 2 5

三个参数依次表示，存放路径， 几级目录，每个目录生成多少个目录（参考session.hash_bits_per_character）

另外需要注意修改 /tmp/session的权限，保证运行php的帐号有权限读写

php中设置多级目录session的问题

在 php.ini 中找到 session.save_path 将值设置为 session.save_path = '3;/tmp/session'; 即可开启三级目录保存session。但是php不会自动生成目录结构，这时可以借助源码包 ext/session 目录下的 mod_files.sh 来生成目录

$ bash mod_files.sh /tmp/session 3

生成完成后发现仍然不能生成session，纠结了半天，打开mod_files.bat才发现玄机，原来后面还需要带一个参数，对应于 php.ini 中的 session.hash_bits_per_character ，这个值默认是4，development和production版本的默认配置里是5，于是用下面的命令从新生成目录

$ bash mod_files.sh /tmp/session 3 5

终于可以登录了。

自定义菜单可以在后台设置但如果你使用了开发者之后那么后台的自定义菜单功能就失效了，必须通过程序来创建了，下面一起来看一个简单的通过php创建自定义菜单的例子。

验证配置

代码如下	复制代码
define("TOKEN", "xxx");//改成自己的TOKEN define('APP_ID', 'xxxx');//改成自己的APPID define('APP_SECRET', 'xxx');//改成自己的APPSECRET $wechatObj = new wechatCallbackapiTest(); if (isset($_GET['echostr'])) {     $wechatObj->valid(); }else{     $wechatObj->responseMsg(); }

class wechatCallbackapiTest{}

这个类就介绍了网上多了去了，大家可以自行搜索了下，我只介绍两个创建自定义菜单的函数

代码如下

复制代码

/**      * 获取access_token      */     public function get_access_token()     {         $url = "https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=".APP_ID."&secret=".APP_SECRET;         $data = json_decode(file_get_contents($url),true);         if($data['access_token']){             return $data['access_token'];         }else{             return "获取access_token错误";         }     }     /**      * 创建菜单      * @param $access_token 已获取的ACCESS_TOKEN      */     public function createmenu($access_token)     {         $url = "https://api.weixin.qq.com/cgi-bin/menu/create?access_token=".$access_token;         $arr = array(              'button' =>array(                 array(                     'name'=>urlencode("aaaa"),                     'sub_button'=>array(                         array(                             'name'=>urlencode("bbbb"),                             'type'=>'click',                             'key'=>'VCX_WEATHER'                         ),                         array(                             'name'=>urlencode("cccc"),                             'type'=>'click',                             'key'=>'VCX_IDENT'                         )                     )                 ),                 array(                     'name'=>urlencode("dddd"),                     'sub_button'=>array(                         array(                             'name'=>urlencode("xxxx"),                             'type'=>'click',                             'key'=>'VCX_GUAHAPPY'                         ),                         array(                             'name'=>urlencode("xxxx"),                             'type'=>'click',                             'key'=>'VCX_LUCKPAN'                         )                     )                 ),                 array(                     'name'=>urlencode("xxxx"),                     'sub_button'=>array(                         array(                             'name'=>urlencode("aaaa"),                             'type'=>'click',                             'key'=>'VCX_ABOUTME'                         ),                         array(                             'name'=>urlencode("aaaaa"),                             'type'=>'click',                             'key'=>'VCX_JOBINFORMATION'                         )                     )                 )             )         );         $jsondata = urldecode(json_encode($arr));         $ch = curl_init();         curl_setopt($ch,CURLOPT_URL,$url);         curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);         curl_setopt($ch,CURLOPT_POST,1);         curl_setopt($ch,CURLOPT_POSTFIELDS,$jsondata);         curl_exec($ch);         curl_close($ch);     }   }

使用方法是

代码如下	复制代码
$access_token = $wechatObj->get_access_token();//获取access_token $wechatObj->createmenu($access_token);//创建菜单到微信公共平台

微信开发最近要用到的一个功能，其实就是一个非常的简单的用户输入然后自动搜索数据库并进行一个数据回复了，这个与官方没多大的问题，但小编就微信Token验证失败折腾了许多，下面解决了给各位分析一下。

1.Token验证失败

这个就是要检查配置文件了，最基本的就是

define("TOKEN", "weixin");  weixin 是你的微信开发后台的ID

2.请求URL超时

这个没什么办法多提交几次了，这个还有就是服务器安装了安全狗之类的软件把微信IP给拦截了，可以检查一下。

3.官方下载一个wechatCallbackapiTest类然后进行一下操作即可

代码如下	复制代码
define("TOKEN", "weixin"); $wechatObj = new wechatCallbackapiTest(); if (isset($_GET['echostr'])) {     $wechatObj->valid(); }else{     $wechatObj->responseMsg(); }

wechatCallbackapiTest类就代码如下

代码如下

复制代码

class wechatCallbackapiTest {     public function valid()     {         $echoStr = $_GET["echostr"];         if($this->checkSignature()){             echo $echoStr;             exit;         }     }     private function checkSignature()     {         $signature = $_GET["signature"];         $timestamp = $_GET["timestamp"];         $nonce = $_GET["nonce"];         $token = TOKEN;         $tmpArr = array($token, $timestamp, $nonce);         sort($tmpArr);         $tmpStr = implode( $tmpArr );         $tmpStr = sha1( $tmpStr );         if( $tmpStr == $signature ){             return true;         }else{             return false;         }     }     public function responseMsg()     {         $postStr = $GLOBALS["HTTP_RAW_POST_DATA"];         if (!empty($postStr)){             $postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);             $fromUsername = $postObj->FromUserName;             $toUsername = $postObj->ToUserName;             $keyword = trim($postObj->Content);             $time = time();             $textTpl = "<xml>                         <ToUserName><![CDATA[%s]]></ToUserName>                         <FromUserName><![CDATA[%s]]></FromUserName>                         <CreateTime>%s</CreateTime>                         <MsgType><![CDATA[%s]]></MsgType>                         <Content><![CDATA[%s]]></Content>                         <FuncFlag>0</FuncFlag>                         </xml>";             if($keyword != " " || !empty( $keyword ) )             {     msgType = "text";     //$contentStr .= date("Y-m-d H:i:s",time());     $resultStr = sprintf($textTpl, $fromUsername, $toUsername, $time, $msgType, $contentStr);     echo $resultStr;             }         }else{             echo "";             exit;         }     } }

magic_quotes_gpc是一个用来过滤用户的数据了双引号或单引号数据进行安全过程了，今天我们来看一些小编整理的php magic_quotes_gpc开关的例子，希望能够帮助到各位．

如果你网站空间的php.ini文件里的magic_quotes_gpc设成了off，那么PHP就不会在敏感字符前加上反斜杠（\\），由于表单提交的内容可能含有敏感字符，如单引号（'），就导致了SQL injection的漏洞。在这种情况下，我们可以用addslashes()来解决问题，它会自动在敏感字符前添加反斜杠。

如何禁用 magic_quotes_gpc 和safe_mode
1，用 php.ini 配置文件全局禁用

magic_quotes_gpc = Off
safe_mode = Off

2,使用 .htaccess 文件禁用(对于虚拟主机)

php_flag magic_quotes_gpc Off
php_flag safe_mode Off

禁用了这两个东东后，安全问题就更加不能忽视了。在数据入库前一定要addslashes ，出库后要记得stripslashes 。

但是，上面的方法只适用于magic_quotes_gpc=Off的情况。作为一个开发者，你不知道每个用户的magic_quotes_gpc是On
还是Off，如果把全部的数据都用上addslashes()，那不是“滥杀无辜”了？假如magic_quotes_gpc=On，并且又用了addslashes()函数，那让我们来看看：

php

//如果从表单提交一个变量$_POST['message']，内容为 Tom's book
//这此加入连接MySQL数据库的代码，自己写吧
//在$_POST['message']的敏感字符前加上反斜杠
$_POST['message'] = addslashes($_POST['message']);

//由于magic_quotes_gpc=On，所以又一次在敏感字符前加反斜杠
$sql = "Insert INTO msg_table VALUE('$_POST[message]');";

//发送请求，把内容保存到数据库内
$query = mysql_query($sql);

//如果你再从数据库内提取这个记录并输出，就会看到 Tom\\'s book
?>

这样的话，在magic_quotes_gpc=On的环境里，所有输入的单引号（'）都会变成（\\'）……
其实我们可以用get_magic_quotes_gpc()函数轻易地解决这个问题。当magic_quotes_gpc=On时，该函数返回TRUE；当magic_quotes_gpc=Off时，返回FALSE。至此，肯定已经有不少人意识到：问题已经解决。请看代码：
php

//如果magic_quotes_gpc=Off，那就为提单提交的$_POST['message']里的敏感字符加反斜杠
//magic_quotes_gpc=On的情况下，则不加
if (!get_magic_quotes_gpc()) {
$_POST['message'] = addslashes($_POST['message']);
} else {}
?>

其实说到这里，问题已经解决。下面再说一个小技巧。
有时表单提交的变量不止一个，可能有十几个，几十个。那么一次一次地复制/粘帖addslashes()，是否麻烦了一点？由于从表单或URL获取的数据都是以数组形式出现的，如$_POST、$_GET)那就自定义一个可以“横扫千军”的函数：

php

function quotes($content)
{
//如果magic_quotes_gpc=Off，那么就开始处理
if (!get_magic_quotes_gpc()) {
//判断$content是否为数组
if (is_array($content)) {
//如果$content是数组，那么就处理它的每一个单无
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是数组，那么就仅处理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=On，那么就不处理
}
//返回$content
return $content;
}
?>

看了下phpwind和 discuz的源码 ，发现phpwind就是直接用的addslashes和stripslashes 。而dz则是自己定义了两个函数：

function daddslashes($string, $force = 0)
    {
    !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
    if(!MAGIC_QUOTES_GPC || $force)
    {
        if(is_array($string))
        {
            foreach($string as $key => $val)
            {
                $string[$key] = daddslashes($val, $force);
            }
        } else
        {
            $string = addslashes($string);
        }
    }
    return $string;
    }
   
        function dstripslashes($string)
        {
        if(is_array($string))
        {
            foreach($string as $key => $val)
            {
                $string[$key] = dstripslashes($val);
            }
        }
        else
        {
            $string = stripslashes($string);
        }
        return $string;
        }
dz的这两个函数的在原函数的基础上扩充了对数组数据的支持，用起来更方便。不过dz的这两个函数不够简洁，这里我给出两个简洁点的：

function addslashes_deep($string)
  {
    $string = is_array($string)?array_map('addslashes_deep', $string):addslashes($string);
    return $string; 
  }
 
 
    function stripslashes_deep($string)
  {
    $string = is_array($string)?array_map('stripslashes_deep', $string):stripslashes($string);
    return $string; 
  }

在数据入库前和出库后都要记得：

//入库前
if(!get_magic_quotes_gpc())
{
$_GET=addslashes_deep($_GET);
$_POST=addslashes_deep($_POST);
$_REQUEST=addslashes_deep($_REQUEST);
//其它要处理的变量.......
}

//出库后
if(get_magic_quotes_gpc())
{
$_GET=stripslashes_deep($_GET);
$_POST=stripslashes_deep($_POST);
$_REQUEST=stripslashes_deep($_REQUEST);
//其它要处理的变量.......
}