PHP и MySQLГлава 8. Сессии и cookie в PHP
8.1. Сессии в PHPСессии и cookies предназначены для хранения сведений о пользователях при переходах между несколькими страницами. При использовании сессий данные сохраняются во временных файлах на сервере. Файлы с cookies хранятся на компьютере пользователя, и по запросу отсылаются броузером серверу. Использование сессий и cookies очень удобно и оправдано в таких приложениях как Интернет-магазины, форумы, доски объявлений, когда, во-первых, необходимо сохранять информацию о пользователях на протяжении нескольких станиц, а, во-вторых, своевременно предоставлять пользователю новую информацию. Протокол HTTP является протоколом "без сохранения состояния". Это означает, что данный протокол не имеет встроенного способа сохранения состояния между двумя транзакциями. Т. е., когда пользователь открывает сначала одну страницу сайта, а затем переходит на другую страницу этого же сайта, то основываясь только на средствах, предоставляемых протоколом HTTP невозможно установить, что оба запроса относятся к одному пользователю. Таким образом необходим метод, при помощи которого было бы отслеживать информацию о пользователе в течение одного сеанса связи с Web-сайтов. Одним из таких методов является управление сеансами при помощи предназначенных для этого функций. Для нас важно то, что сеанс по сути, представляет собой группу переменных, которые, в отличие от обычных переменных, сохраняются и после завершения выполнения PHP-сценария. При работе с сессиями различают следующие этапы:
8.1.1. Открытие сессии
Самый простой способ открытия сессии заключается в использовании функции Синтаксис: session_start(); Эта функция проверяет, существует ли идентификатор сессии, и, если нет, то создает его. Если идентификатор текущей сессии уже существует, то загружаются зарегистрированные переменные сессии. 8.1.2. Регистрация переменных сессии
Вообще говоря, регистрация переменных сессии осуществляется при помощи функции Синтаксис: bool session_register(mixed name [,mixed...]); Т.е. для того, чтобы зарегистрировать переменную, в которой хранится имя пользователя, указанное им при регистрации, мы должны вызвать эту функцию следующим образом: session_register("username"); К примеру: <?php $name = "username"; $username = "maksim"; session_register($name) // регистрируется переменная "username" со // значением "maksim" ?>
Однако, начиная с версии PHP 4.2.0, практика регистрирования сеансовых переменных претерпела некоторые изменения, что
вносит в этот вопрос некоторую путаницу. Дело в том, что функция $_SESSION['username'] = "maksim"; // или $HTTP_SESSION_VARS['username'] = "maksim";
Такой подход является более оправданным, поскольку функция
Для корректной работы приложения необходимо проверять, установлены ли переменные сессии. Такую проверку можно сделать при
помощи функции $result = session_is_registerd("username");
При использовании ассоциативных массивов if(isset($_SESSION['username'])) 8.1.3. Закрытие сессии
После завершения работы с сессией сначала нужно разрегистрировать все переменные сессии, а затем вызвать функцию
Синтаксис: session_destroy(); Способы разрегистрации сеансовых переменных различаются в зависимости от того, каким способом они были зарегистрированы.
При включенном Синтаксис: session_unregister("username"); Если же регистрация осуществлялась путем с применением ассоциативных массивов, то поступают следующим образом: unset($_SESSION["username"]); 8.1.4. Пример простой сессии
Рассмотрим пример простой сессии, работающей с тремя страницами. При посещении пользователем первой страницы
открывается сессия и регистрируется переменная <? session_start(); $_SESSION['username'] = "maksim"; echo "Привет, ".$_SESSION["username"]."<br>"; echo "<a href='page2.php'>На следующую страницу</a>"; ?> Результат работы этого сценария показан на рисунке:
После этого, пользователь <? session_start(); echo $_SESSION["username"]." , ты пришел на другую страницу этого сайта!<br>"; echo "<a href='page3.php'>На следующую страницу</a>"; ?> Результат работы этого скрипта показан на рисунке:
При нажатии на ссылку, пользователь попадает на страницу page3.php, при этом происходит разрегистрация сеансовой переменной и уничтожение сессии. Соответствующий код реализации: <? session_start(); unset($_SESSION["username"]); // разрегистрировали переменную echo "Привет, ".$_SESSION["username"]; // теперь имя пользователя уже не выводится session_destroy(); // разрушаем сессию ?>
Как видно из рисунка, после разрегистрации сеансовой переменной значение массива
8.2. CookiesИспользование сookies удобно как для программистов, так и для пользователей. Пользователи выигрывают за счет того, что им не приходится каждый раз заново вводить информацию о себе, а программистам сookies помогают легко и надежно сохранять информацию о пользователях. Cookies — это текстовые строки, хранящиеся на стороне клиента, и содержащие пары "имя-значение", с которыми связан URL, по которому браузер определяет нужно ли посылать cookies на сервер. 8.2.1. Установка cookies
Установка cookies производится с помощью функции Синтаксис: bool setcookie (string name[, string value[, int expire [, string path[, string domain[, int secure]]]]]) Эта функция имеет следующие аргументы:
8.2.2. Пример простого приложения с cookiesДавайте создадим простой сценарий, подсчитывающий при помощи cookies количество обращений посетителя к странице.
В cookie с именем <? $counter++; setcookie("counter", $counter); echo "Вы посетили эту страницу ".$counter." раз"; ?> Результат выполнения сценария на рисунке:
При работе с cookies необходимо учитывать важный момент, заключающийся в том, что cookie надо обязательно устанавливать перед отправкой в броузер каких-либо заголовков, поскольку сами cookies устанавливаются в виде заголовков. Поэтому если установить cookies после какого-либо текста, отправляемого в броузер, то возникнет ошибочная ситуация.
Рассмотрим этот вопрос подробнее, для чего модифицируем код, приведенный в листинге, поместив перед установкой
<p> Если здесь поместить текст, то возникнет ошибка, так как будет послан заголовок Content-type: text/html. </p> <?php $counter++; setcookie("counter",$counter); echo "Вы посетили эту страницу ".$counter." раз"; ?> При выполнении этого сценария выводится сообщение об ошибке:
Заметим, что в этих листингах мы обращаемся к переменной <?php $_COOKIE["counter"]++; setcookie("counter",$counter); echo "Вы посетили эту страницу ".$_COOKIE["counter"]." раз"; ?> Поскольку некоторые пользователи отключают cookie в настройках своих браузеров, для корректной работы, в приложение, использующее cookies, необходимо помещать код, проверяющий включены ли cookies у посетителя, и, если нет, то сообщающий ему о необходимости включить cookie:
<?php
8.2.3. Установка срока годности cookiesПо умолчанию cookies устанавливаются на один сеанс работы с броузером, однако можно задать для них более продолжительный срок существования. Это очень удобное и полезное свойство, поскольку в этом случае пользователю не нужно предоставлять свои данные вновь при каждом посещении сайта.
Как уже говорилось, срок годности устанавливается в секундах относительно начала эпохи. В PHP существуют
функции Синтаксис: time();
Усовершенствованным вариантом функции Синтаксис: int mktime ([int hour [, int minute [, int second [, int month [, int day [, int year [, int is_dst]]]]]]])
Аргумент
Примеры установки сроки годности <? // этот cookie действителен в течение 10 мин после создания setcookie("name", $value, time() + 600); // действие этого cookie прекращается в полночь 25 января 2010 года setcookie("name", $value, mktime(0,0,0,01,25,2010)); // действие этого cookie прекращается в 18.00 25 января 2010 года setcookie("name", $value, mktime(18,0,0,01,25,2010)); ?> 8.2.4. Удаление cookie
Удалить cookie просто. Для этого надо вызвать функцию setcookie("name");
Другие установленные 8.2.5. Проблемы безопасности, связанные с cookiesИногда в cookie приходится хранить конфиденциальные данные, и в этом случае разработчик должен позаботиться о том, чтобы информация хранящееся в cookie не была передана третьим лицам. Существует несколько методов защиты информации, хранящейся в cookie:
Наилучшим решением является комплексное применение всех этих способов. 8.2.6. Установка области видимости cookie
Поскольку, по умолчанию, доступ к cookie происходит из корневого каталога, это может создать
"дыры" в системе защиты, так как cookie становятся доступными в любом подкаталоге этого каталога.
Ограничить доступ к cookie для всех страниц, кроме расположенных в конкретном каталоге, к примеру,
setcookie("name", $value, "/web/");
Однако и в этом случае, к примеру, каталоги setcookie("name", $value, "/web/index.php");
Однако и такой способ в полной мере не решает проблему, так как в этом случае доступ к информации, содержащейся
в cookie, может получить, к примеру, скрипт 8.2.7. ШифрованиеПрименить шифрование к cookie можно разными способами, рассмотрим один из них: <?php // создаем вектор начального состояния для шифрования $vector = mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_CAST_256, MCRYPT_MODE_CFB), MCRYPT_RAND); $key = "qwe233jk312jx813893xk312"; // ключ для расшифрования $cook_name = "maks"; $cipher = mcrypt_encrypt(MCRYPT_CAST_256, $key, $cook_name, MCRYPT_MODE_CFB, $vector); setcookie("username", $cipher, "/decrypt.php"); ?>
Как видно из листинга, расшифровка <? // вектор начального состояния остается неизменным $vector = mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_CAST_256, MCRYPT_MODE_CFB), MCRYPT_RAND); $key = "qwe233jk312jx813893xk312"; $decrypt_name = mcrypt_ decrypt(MCRYPT_CAST_256, $key, $username, MCRYPT_MODE_CFB, $vector); echo $decrypt_name.", мы рады видеть вас на нашей страничке!"; ?> 8.2.8. Ограничение доступа для доменовДля дополнительной безопасности, список доменов, имеющих доступ к cookie, должен быть ограничен. Это можно сделать при помощи следующего кода: setcookie("name", $value, "/web/index.php", ".server.com"); При таком ограничении заданной области видимости будут соответствовать домены с именами server.com, myservser.com, php.server.com и т. д., поскольку проверка на допустимость области видимости домена осуществляется по принципу концевого соответствия. 8.2.9. Отправка cookies по защищенному запросу
Не является излишним для cookie, хранящему секретные данные, разрешить отвечать только на
защищенные запросы HTTP, так как в этом случае значительно затрудняется перехват данных, которыми обмениваются
клиент и сервер. Для обеспечения защищенного соединения, функции setcookie("name", $value, time() + 600, "/web/", ".server.com", 1); |
||