Сессии в PHP
С самого начала PHP все приняли на ура, но как только на этом языке стали создавать достаточно крупные проекты, разработчики столкнулись с новой проблемой — в PHP отсутствовало понятие глобальных переменных! То есть, выполнялся некий скрипт, посылал сгенерированную страницу клиенту, и все ресурсы, используемые этим скриптом уничтожались. Попробую проиллюстрировать: предположим есть две страницы одного сайта, index.php и dothings.php. Исходники к этим страницам выглядят так:
Если выполнить эти два скрипта, то на первой странице мы увидим надпись «Меня задали на index.php», а вторая страница будет пустой.
Разработчики web-сайтов, недолго думая, стали использовать cookie для хранения глобальных переменных на стороне клиента. Процесс выглядел примерно так: пользователь приходит на главную страницу сайта, делает какие-то действия, и вся информация, связанная с этим пользователем, которая может потребоваться на других страницах сайта, будет храниться у него в браузере в виде cookie. Этот метод имеет довольно серьезные минусы, из-за которых от PHP в своё время отвернулось немало разработчиков. Например, нам нужно авторизовать пользователя, чтобы разрешить ему доступ к закрытым (или принадлежащим только ему) разделам сайта. Придется отправлять пользователю cookie, который будет служит его последующим идентификатором на сайте. Такой подход становится очень громоздким и не удобным, как только сайт начинает собирать всё больше и больше сведений о поведении пользователя, ведь всю информацию, посылаемую пользователю, желательно кодировать, чтобы её нельзя было подделать. Ещё совсем недавно подделкой cookie можно было «уложить» не один чат, а порой и пробраться в чужую почту. К тому же есть ещё на свете странные люди, у которых браузер cookie не поддерживает.
При использовании сессий вся информация хранится не на стороне клиента, а на стороне сервера, и потому лучше защищена от манипуляций злоумышленников. Да и работать с сессиями куда проще и удобнее, так как все данные автоматически проходят через алгоритмы криптографии модуля PHP. В броузере клиента, лишь хранится уникальный идентификатор номера сессии, либо в форме cookie, либо в виде переменной в адресной строке броузера, какой из двух способов использовать для передачи идентификатора сессии между страницами интерпретатор PHP выбирает сам. Это на 100% безопасно, так как идентификатор сессии уникален, и подделать его практически невозможно (об этом чуть далее, в разделе о безопасности сессий).
Я не буду вдаваться в технологические вопросы устройства механизма работы сессий, а только опишу, как правильно работать с сессиями в PHP.
Как работать с сессиями?
Если вы будете тестировать примеры из статьи (или ваши скрипты) на каком-либо коммерческом хостинге, проблем с работой с сессиями быть не должно. Если же вы сами настраивали ваш сервер (будь то реальный сервер, или эмулятор), могут появляться ошибки примерно такого содержания:
«Warning: open(/var/state/php/sess_6f71d1dbb52fa88481e752af7f384db0, O_RDWR) failed: No such file or directory (2)».
Это значит всего лишь, что у вас неправильно настроен PHP. Решить эту проблему можно, прописав правильный путь (на существующую директорию) для сохранения сессий в файле php.ini и перезапустить сервер.
Любой скрипт, который будет использовать переменные (данные) из сессий, должен содержать следующую строчку:
Эта команда говорит серверу, что данная страница нуждается во всех переменных, которые связаны с данным пользователем (браузером). Сервер берёт эти переменные из файла и делает их доступными. Очень важно открыть сессию до того, как какие-либо данные будут посылаться пользователю; на практике это значит, что функцию session_start() желательно вызывать в самом начале страницы, например так:
Для задания директории в которой будут сохраняться файлы сессий используется функция session_save_path():
session_save_path($_SERVER['DOCUMENT_ROOT'].'/session'); session_start();После начала сессии можно задавать глобальные переменные. Ари присвоении какого-либо значения любому полю массива $_SESSION, переменная с таким же именем автоматически регистрируется, как переменная сессии. Этот массив доступен на всех страницах, использующих сессию. Для примера разберем програму:
Всё ОК. Сессию загрузили! Пройдём, посмотрим что там: При последовательном запуске этих файлов, первый скрипт «index.php» выдаст следующий результат:
Всё ОК. Сессию загрузили! Пройдём, посмотрим что там:
А второй «dothings.php» вот это:
Переменная $a теперь доступна на всех страницах данного сайта, которые запустили сессии.
- unset($_SESSION[‘a’]) — сессия «забывает» значение заданной сессионой переменной;
- session_destroy() — сессия уничтожается (например, если пользователь покинул систему, нажав кнопку «выход»);
- session_set_cookie_params(int lifetime [, string path [, string domain]]) — с помощью этой функции можно установить, как долго будет «жить» сессия, задав unix_timestamp определяющий время «смерти» сессии. По умолчанию, сессия «живёт» до тех пор, пока клиент не закроет окно браузера.
- session_write_close() — запись переменных сесии и закрытие ее. Это необходимо для открытия сайта в новом окне, если страница выполняет длительную обработу и заблокировала для вашего браузера файл сессий.
Примеры
Теперь обратимся к практическому применению механизма сессий. Здесь мы рассмотрим пару довольно простых и в то же время полезных примеров.
Авторизация Пользователя
Вопросы по авторизации пользователей с помощью PHP-сессий постоянно задаются в конференциях по web-программированию. Механизм авторизации пользователей в системе с помощью сессий довольно хорош с точки зрения безопасности (см.раздел Безопасность).
Наш пример будет состоять из трёх файлов: index.php, authorize.php и secretplace.php. Файл index.php содержит форму, где пользователь введёт свой логин и пароль. Эта форма передаст данные файлу authorize.php, который в случае успешной авторизации допустит пользователя к файлу secretplace.php, а в противном случае выдаст сообщение об ошибке.
Логин:
Пароль: страницу. header("Location: secretplace.php"); exit; > > // если что-то было не так, то пользователь получит // сообщение об ошибке. ?> Вы ввели неверный пароль! ?> Привет, , ты на секретной странице. :) Безопасность
Итак, мы умеем передавать идентификатор от одной страницы (PHP-скрипта) к другой (до следующего вызова с нашего сайта), а значит мы можем различать всех посетителей сайта. Так как идентификатор сессии — это очень большое число (128 бит), шансов, что его удастся подобрать перебором, практически нет. Поэтому злоумышленнику остаются следующие возможности:
- на компьютере пользователя стоит «троян», который ворует номера сессий;
- злоумышленник отлавливает трафик между компьютером пользователя и сервером. Конечно, есть защищенный (зашифрованный) протокол SSL, но им пользуются не все;
- к компьютеру нашего пользователя подошел сосед и стащил номер сессии.
Такие ситуации, основанные на том, что кто-то что-то у кого-то стащит, в общем, не входят в компетенцию программиста. Об этом должны заботиться администраторы и сами пользователи.
Впрочем, PHP очень часто можно «обмануть». Давайте рассмотрим возможные точки взлома в программе авторизации пользователя:
- Файл authorize.php — попытка подбора пароля с помощью стороннего скрипта;
- Файл secretplace.php — попытка обмануть программу путём вписывания значений переменной $logged_user в адресной строке браузера, например так:
«http://www.yoursite.ru/secretplace.php?logged_user=hacker«
Итак, в нашей программе явно видны две «дыры», одна маленькая и не особо заметная, а вот вторая — просто огромная, через которую большинство хакеров и лезет туда, куда не надо.
Как «залатать» дыру номер 1?
Не будем писать тонны кода по блокировке IP-адреса и т.п., а просто проверим, откуда приходит запрос, а точнее с какой страницы пришёл запрос, если это будет любая страница с нашего сайта, то всё нормально, а во всех остальных случаях пускать не будем. Подкорректируем файл authorize.php:
страницу. header("Location: secretplace.php"); exit; > > > ?> Вы ввели неверный пароль! Как избавиться от «дыры» номер 2?
Предположим, у вас есть сайт, где каждый смертный может зарегистрироваться чтобы добавлять сообщения в форум. Естественно, в форуме у некоторых пользователей (админов, модераторов), возможностей больше чем у других, они, например, могут удалять сообщения других пользователей. Уровень доступа пользователя вы храните в сессии, в переменной $user_status, где $user_status = 10 соответствует полному доступу к системе. Пришедшему на сайт злоумышленнику достаточно зарегистрироваться штатным образом, а потом дописать в адресной строке браузера ?user_status=10. Вот и завёлся у вас на форуме новый админ!
В принципе, любую переменную скрипта можно задать через адресную строку, просто дописав после полного адреса к скрипту вопросительный знак и название переменной с её значением. Давайте поправим наш код, чтобы этого избежать:
переменную unset($_SESSION['logged_user']); // открываем сессию session_start(); /* просто зайти на эту страницу нельзя. если имя пользователя не зарегистрировано, то перенаправляем его на страницу index.php для ввода логина и пароля. тут на самом деле можно много чего сделать, например запомнить IP пользователя, и после третьей попытки получить доступ к файлам, его перекрыть. */ if(!isset($_SESSION['logged_user'])) < header("Location: index.php"); exit; >?> Привет,, ты на секретной странице! Механизм сессий — довольно удачная особенность языка PHP. Сессии просты, очень гибки в использовании. Кстати, есть одна, мало где документированная возможность сессий PHP (доступна начиная с версии 4.0.3) — в сессиях можно хранить не только переменные, но и объекты.
Примеры
// Пример работы с сессиями. session_start(); // Если на сайт только-только зашли, обнуляем счетчик. if (!isset($_SESSION['count'])) $_SESSION['count'] = 0; // Увеличиваем счетчик в сессии. $_SESSION['count'] = $_SESSION['count'] + 1; ?> Счетчик
В текущей сессии работы с браузером Вы открыли эту страницу раз(а).
Закройте браузер, чтобы обнулить счетчик.
" target="_blank"> Открыть дочернее окно браузера.// Простой пример использования сессий без Cookies. session_name("test"); session_start(); $_SESSION['count'] = @$_SESSION['count'] + 1; ?> Счетчик
В текущей сессии работы с браузером Вы открыли эту страницу раз(а).
Закройте браузер, чтобы обнулить этот счетчик.
?">Нажмите сюда для обновления страницы!How to Store Form Data in Session in PHP
In this tutorial, we will learn how to store form data in a session in PHP. We will take an example as shown in the above image with the help of an HTML form.
Using session, we can keep the form values even after submitting the data. If you do not know about the PHP session and how it works then go through the below tutorial link.
Required steps to store form data in session in PHP
- First of all, start the PHP session with the help of the session_start() function.
- We will get the form values from the request after submitting with the help of PHP $_POST[] global variable in the form of an array.
- Now, we will store all the POST variables in a session array with the help of the $_SESSION[] global variable in the form of an array in PHP.
- The form values will remain in session until we click the reset button.
- After clicking the reset button, all the form values will be removed from the form fields with the help of the session_unset() function.
Complete Code:-
//reset the form data if(isset($_POST['reset'])) < session_unset(); //session_destroy(); >?> .containerName:Email:Phone No: