PHP 会话(session 时间设定)使用入门

在PHP开发中对比起Cookie，Session 是存储在服务器端的会话，相对安全，并且不像 Cookie 那样有存储长度限制，本文简单介绍 Session 的使用。

　　由于 Session 是以文本文件形式存储在服务器端的，所以不怕客户端修改 Session 内容。实际上在服务器端的 Session 文件，PHP 自动修改 Session 文件的权限，只保留了系统读和写权限，而且不能通过 ftp 修改，所以安全得多。PHPChina 开源社区门户k%W%e2CY

　 　对于 Cookie 来说，假设我们要验证用户是否登陆，就必须在 Cookie 中保存用户名和密码（可能是 md5 加密后字符串），并在每次请求页面的时候进行验证。如果用户名和密码存储在数据库，每次都要执行一次数据库查询，给数据库造成多余的负担。因为我们并不能 只做一次验证。为什么呢？因为客户端 Cookie 中的信息是有可能被修改的。假如你存储 $admin 变量来表示用户是否登陆，$admin 为 true 的时候表示登陆，为 false 的时候表示未登录，在第一次通过验证后将 $admin 等于 true 存储在 Cookie，下次就不用验证了，这样对么？错了，假如有人伪造一个值为 true 的 $admin 变量那不是就立即取的了管理权限么？非常的不安全。

　 　而 Session 就不同了，Session 是存储在服务器端的，远程用户没办法修改 Session 文件的内容，因此我们可以单纯存储一个 $admin 变量来判断是否登陆，首次验证通过后设置 $admin 值为 true，以后判断该值是否为 true，假如不是，转入登陆界面，这样就可以减少很多数据库操作了。而且可以减少每次为了验证 Cookie 而传递密码的不安全性了（Session 验证只需要传递一次，假如你没有使用 SSL 安全协议的话）。即使密码进行了 md5 加密，也是很容易被截获的。

　　当然使用 Session 还有很多优点，比如控制容易，可以按照用户自定义存储等（存储于数据库）。我这里就不多说了。

　　Session 在 php.ini 是否需要设置呢？一般不需要的，因为并不是每个人都有修改 php.ini 的权限，默认 Session 的存放路径是服务器的系统临时文件夹，我们可以自定义存放在自己的文件夹里，这个稍后我会介绍。

　　开始介绍如何创建 Session。非常简单，真的。

　　启动 Session 会话，并创建一个 $admin 变量：

＜?php
// 启动 Session
session_start();
// 声明一个名为 admin 的变量，并赋空值。
$_SESSION["admin"] = null;
?＞

　　如果你使用了 Seesion，或者该 PHP 文件要调用 Session 变量，那么就必须在调用 Session 之前启动它，使用 session_start() 函数。其它都不需要你设置了，PHP 自动完成 Session 文件的创建。

　　执行完这个程序后，我们可以到系统临时文件夹找到这个 Session 文件，一般文件名形如：sess_4c83638b3b0dbf65583181c2f89168ec，后面是 32 位编码后的随机字符串。用编辑器打开它，看一下它的内容：

　　admin|N;

　　一般该内容是这样的结构：

　　变量名|类型:长度:值;

　　并用分号隔开每个变量。有些是可以省略的，比如长度和类型。

　　我们来看一下验证程序，假设数据库存储的是用户名和 md5 加密后的密码：

＜?php

// 表单提交后...
$posts = $_POST;
// 清除一些空白符号
foreach ($posts as $key =＞ $value)
{
$posts[$key] = trim($value);
}
$password = md5($posts["password"]);
$username = $posts["username"];

$query = "SELECT `username` FROM `user` WHERE `password` = ''$password''";
// 取得查询结果
$userInfo = $DB-＞getRow($query);

if (!empty($userInfo))
{
if ($userInfo["username"] == $username)
{
// 当验证通过后，启动 Session
session_start();
// 注册登陆成功的 admin 变量

一、问题起源

稍大一些的网站，通常都会有好几个服务器，每个服务器运行着不同功能的模块，使用不同的二级域名，而一个整体性强的网站，用户系统是统一的，即一套用户名、密码在整个网站的各个模块中都是可以登录使用的。各个服务器共享用户数据是比较容易实现的，只需要在后端放个数据库服务器，各个服务器通过统一接口对用户数据进行访问即可。但还存在一个问题，就是用户在这个服务器登录之后，进入另一个服务器的别的模块时，仍然需要重新登录，这就是一次登录，全部通行的问题，映射到技术上，其实就是各个服务器之间如何实现共享 SESSION 数据的问题。

二、PHP SESSION 的工作原理

在解决问题之前，先来了解一下 PHP SESSION 的工作原理。在客户端（如浏览器）登录网站时，被访问的 PHP 页面可以使用 session_start() 打开 SESSION，这样就会产生客户端的唯一标识 SESSION ID（此 ID 可通过函数 session_id() 获取/设置）。SESSION ID 可以通过两种方式保留在客户端，使得请求不同的页面时，PHP 程序可以获知客户端的 SESSION ID；一种是将 SESSION ID 自动加入到 GET 的 URL 中，或者 POST 的表单中，默认情况下，变量名为 PHPSESSID；另一种是通过 COOKIE，将 SESSION ID 保存在 COOKIE 中，默认情况下，这个 COOKIE 的名字为 PHPSESSID。这里我们主要以 COOKIE 方式进行说明，因为应用比较广泛。

那么 SESSION 的数据保存在哪里呢？当然是在服务器端，但不是保存在内存中，而是保存在文件或数据库中。默认情况下，php.ini 中设置的 SESSION 保存方式是 files（session.save_handler = files），即使用读写文件的方式保存 SESSION 数据，而 SESSION 文件保存的目录由 session.save_path 指定，文件名以 sess_ 为前缀，后跟 SESSION ID，如：sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的数据即是序列化之后的 SESSION 数据了。如果访问量大，可能产生的 SESSION 文件会比较多，这时可以设置分级目录进行 SESSION 文件的保存，效率会提高很多，设置方法为：session.save_path="N;/save_path"，N 为分级的级数，save_path 为开始目录。当写入 SESSION 数据的时候，PHP 会获取到客户端的 SESSION_ID，然后根据这个 SESSION ID 到指定的 SESSION 文件保存目录中找到相应的 SESSION 文件，不存在则创建之，最后将数据序列化之后写入文件。读取 SESSION 数据是也是类似的操作流程，对读出来的数据需要进行解序列化，生成相应的 SESSION 变量。

三、多服务器共享 SESSION 的主要障碍及解决办法

通过了解 SESSION 的工作原理，我们可以发现，在默认情况下，各个服务器会各自分别对同一个客户端产生 SESSION ID，如对于同一个用户浏览器，A 服务器产生的 SESSION ID 是 30de1e9de3192ba6ce2992d27a1b6a0a，而 B 服务器生成的则是 c72665af28a8b14c0fe11afe3b59b51b。另外，PHP 的 SESSION 数据都是分别保存在本服务器的文件系统中。

 

 

现在在PHP的框架上面讨论很多，我觉得这里面主要有两个问题：首先盲目崇拜框架，认为采用框架设计才是正统，否则就是不入流、是菜鸟。其次是模仿 Java 的痕迹很重。我并不是说模仿是一件坏事，这里指的是没有经过认真思索，未曾考虑框架或某些设计的原理与目的、承接项目实际情况和 Java 与 PHP 之间的异同而盲目进行的一些“模仿”工作。《PHP 开发中的三个世界》一文就是针对其中“项目的实际情况”来写的一篇文章，着重讨论了在不同开发领域进行 PHP 开发的一些特点。若有不当之处，还请方家指正。

注：所写内容均为个人感想，转载请注明出处。

PHP 开发中的三个世界

在 PHP 开发领域，不断在讨论讨论 OO ，讨论框架、讨论设计模式、讨论 MVC 模型，讨论这些所带来的种种好处。我不对这些好处进行否认，我只是认为不能盲目跟随某种开发方式，一切方法都是有适用范围的， PHP 开发也不例外。PHP 开发根据受众、服务目标等可以大致可以分为三种不同的开发领域：行业商业软件、通用共享软件和私有专用软件。在这些不同的领域，所主要采用的开发手段也是有所区别的。明确自己产品所在领域并确定下来一种开发方法是很有必要的。需要说明的是这个三个分类严格说来并不是完全并列，泾渭分明，希望这不会给大家带来困扰，领会意思即可。：）

另限于个人的水平及观点的狭隘，有些看法难免有失偏颇甚至偏激，还望方家不吝赐教。


首先来说一下行业商用软件：
这类软件主要面向特定行业或企业的某种应用，项目设计较为复杂。一般为某个开发公司独立承接，几乎没有竞争对手。目前主要以 CRM、CMS、OA 等为代表。这类软件的客户并不关心系统的运行速度有多快，而是关心这个系统能否协调一致完成所需要的功能。由于是面向特定的客户，所以该类软件使用面较为狭窄，若换了另外一家客户通常就不能很好的运行（这里的运行并非指代码的执行，而是指功能的实现），就必须推倒重来。为了减少在开发不同系统当中所作无谓的基础性的重复劳动，我们就必须把这些不同的系统应用中相同的部分给提取出来。这些相同的部分既含有代码技术上的相似性，也包含设计流程上相似性。这是一种将问题进行抽象的过程。我们现有的这些框架、模型就是前人在这些抽象过程的劳动成果。由于几乎每个 Java 项目通常都是较为大型的复杂的应用，所以我们在这些项目中处处可见框架，处处可见模式。你不采用这种开发方式，那就几乎无法前行。PHP 在开发这类应用时是跟 Java 很相似的，唯一不同的就是各自运行环境（主要是指各自的语言解释器，下同）不同。PHP 是一种脚本语言，其支持各种 OO 语言特性的代价很沉重。无论是在空间还是在时间上。所幸对于这类行业商用软件性能是次要的，并且可以自己决定运行环境，因此采用对 OO 特性支持良好的 PHP5 是必然的选择。而且采用一些框架也是必须的。

再来说说通用共享软件：
这个概念从传统桌面型共享软件的概念而来，它的主要特点就是客户（包括潜在的客户）众多，同一类型的软件用户的选择也较多，竞争较为激烈。这类软件目前以论坛社区程序为代表。为了赢得客户，那你必须要做得比一般竞争对手更好。对这类软件来说，竞争主要在一下几个方面：

1、界面。界面是你的客户（包括客户的客户）对你产品的第一印象。因此界面必须要友好。界面不单指外观，还包括可操作性。界面必须要考虑到大多数人的习惯，操作必须要简单、顺手。外观虽然是萝卜白菜，但你也必须留一个选择权（接口）给客户，让客户能非常方便地修改使用。

2、性能。良好的界面当然会给你的产品加分。但在这可以 Ctrl+C 和 Ctrl+V 的世界，再优秀的界面都会被竞争对手瞬间所“学习”。如果说界面是第一印象，那么性能将是致命的考察。因为界面可以更换，但你不能指望客户自己去完善代码。在 PHP 开发中，性能很大程度上是指代码的运行速度，另外一个重要的表现就是对系统资源的损耗程度。每个处理进程的资源占有率越低，系统就越有时间来同时处理更多的请求。这些都是一个细微之处见真章的功夫。希望有机会再和大家详细探讨。但其中我个人有个大致的原则就是避免使用类。PHP中的类真是性能杀手。避免使用类的直接后果就是避免使用框架。有人说这样做会影响开发效率。我承认，是可能会造成一些这样的效果。但我认为，效率分两种：开发效率和运行效率。在行业商用软件中我们这样做是不合适的，但在通用共享软件里面，我们的竞争对手很多。况且客户才不会管你使用什么框架、采用什么模式，客户只关心他们自己的体验。雨和熊掌不可兼得，我们必须要舍弃一点开发效率来保证运行效率。这也是不得已而为之。

3、兼容性。