session过期后数据会丢失,因为默认存储在服务器上并由垃圾回收机制清理;防止session劫持需使用https、设置cookie属性、定期更换session id、验证用户信息、缩短过期时间及使用token;跨域共享session可通过设置cookie域、jsonp、cors、postmessage或sso实现;session数据默认存于服务器文件中,也可存入数据库或缓存系统如redis;销毁session需依次执行session_unset()、删除cookie及session_destroy()以确保彻底清除。
PHP保存Session值,简单来说,就是利用$_SESSION这个全局变量,把你想存的数据放进去。但Session的背后,其实涉及到服务器和客户端之间如何维持状态,以及一些安全和性能上的考量。
PHP Session操作,可以理解为一系列对$_SESSION数组的操作,以及一些配置选项的调整。
Session过期后,存储的数据会丢失吗?
是的,Session过期后,存储的数据会丢失。Session的数据默认是存储在服务器上的,当Session过期或者被销毁时,服务器会清除这些数据。客户端只是保存一个Session ID,用来告诉服务器“我是谁”。
立即学习“PHP免费学习笔记(深入)”;
具体来说,Session的过期时间由session.gc_maxlifetime配置项决定,单位是秒。当Session长时间没有活动时,服务器的垃圾回收机制(garbage collection)可能会清理掉这些Session数据。
还有一种情况是,如果用户手动关闭了浏览器,或者清除了浏览器的Cookie,那么Session ID也会丢失,导致服务器无法找到对应的Session数据,相当于Session失效了。
所以,如果需要长期保存数据,不要依赖Session。可以考虑使用数据库、文件或者Cookie等方式来存储。
如何防止Session劫持?
Session劫持是指攻击者通过某种方式获取了用户的Session ID,然后冒充用户进行非法操作。防止Session劫持,可以从以下几个方面入手:
使用HTTPS: HTTPS可以加密客户端和服务器之间的通信,防止Session ID在传输过程中被窃取。这是最基本也是最重要的一点。
设置
session.cookie_httponly = true: 这个配置项可以防止客户端脚本(如JavaScript)访问Session Cookie,从而降低XSS攻击的风险。设置
session.cookie_secure = true: 这个配置项可以确保Session Cookie只在HTTPS连接下传输。定期更换Session ID: 可以使用
session_regenerate_id()函数来定期更换Session ID,即使攻击者获取了之前的Session ID,也会失效。注意,更换Session ID后,原来的Session数据仍然有效。验证用户代理(User Agent)和IP地址: 可以在Session中存储用户的User Agent和IP地址,并在每次请求时进行验证。如果User Agent或IP地址发生变化,可以认为Session可能被劫持,并销毁Session。但是,这种方法可能会导致误判,因为用户的IP地址可能会因为网络环境的变化而改变。
设置合理的Session过期时间: 缩短Session的过期时间,可以降低Session被劫持的风险。
使用Session Token: 每次生成页面时,生成一个随机的Token,并将这个Token存储在Session中。同时,将这个Token嵌入到页面中的表单或者链接中。在处理表单提交或者链接点击时,验证Token是否匹配。这样可以防止CSRF攻击,也能在一定程度上防止Session劫持。
如何跨域共享Session?
跨域共享Session是一个比较复杂的问题,涉及到浏览器的同源策略。简单来说,如果两个网站的域名、协议或者端口号不同,就被认为是跨域的。默认情况下,浏览器不允许跨域访问Cookie,因此Session也无法跨域共享。
以下是一些常用的跨域共享Session的方法:
设置
session.cookie_domain: 可以将session.cookie_domain设置为顶级域名,例如.example.com。这样,所有子域名下的网站都可以访问这个Session Cookie。但是,这种方法只适用于父子域名之间。使用JSONP: JSONP是一种利用
<script></script>标签的跨域请求方式。可以将Session ID作为参数传递给另一个域名的服务器,然后服务器返回一段JavaScript代码,将Session ID设置到另一个域名的Cookie中。但是,JSONP只支持GET请求,而且存在安全风险。使用CORS: CORS(Cross-Origin Resource Sharing)是一种W3C标准,允许服务器设置HTTP头部,告诉浏览器允许哪些域名进行跨域访问。需要在服务器端设置
Access-Control-Allow-Origin头部,指定允许跨域访问的域名。使用PostMessage: PostMessage是一种HTML5 API,允许不同域名下的网页之间进行通信。可以将Session ID通过PostMessage发送给另一个域名的网页,然后另一个域名的网页将Session ID设置到Cookie中。
使用统一认证中心(SSO): SSO是一种集中管理用户身份验证的解决方案。用户只需要在一个网站登录一次,就可以访问所有集成了SSO的网站。SSO通常使用OAuth或者SAML等协议来实现。
选择哪种方法,取决于具体的应用场景和安全需求。
Session数据存储在哪里?
Session数据默认存储在服务器上的文件中。具体存储位置由session.save_path配置项决定。默认情况下,存储在/tmp目录下。
也可以将Session数据存储在数据库中。需要实现SessionHandlerInterface接口,并使用session_set_save_handler()函数来注册自定义的Session处理函数。
将Session数据存储在数据库中,可以方便地进行Session数据的管理和备份,也更容易实现Session的持久化。
还可以将Session数据存储在Redis或者Memcached等缓存系统中。这种方式可以提高Session的读写性能。
如何销毁Session?
销毁Session,可以使用以下步骤:
session_unset(): 清空$_SESSION数组中的所有值。session_destroy(): 销毁Session。这个函数会删除服务器上的Session数据。删除Session Cookie: 为了确保客户端也清除了Session ID,需要删除Session Cookie。可以使用
setcookie()函数来删除Cookie,将Cookie的过期时间设置为过去的时间。
以下是一个完整的销毁Session的示例代码:
<?php
session_start();
// 清空$_SESSION数组
session_unset();
// 删除Session Cookie
if (ini_get("session.use_cookies")) {
$params = session_get_cookie_params();
setcookie(session_name(), '', time() - 42000,
$params["path"], $params["domain"],
$params["secure"], $params["httponly"]
);
}
// 销毁Session
session_destroy();
?>注意,session_destroy()函数只是销毁服务器上的Session数据,并不会立即删除Session Cookie。需要手动删除Session Cookie,才能确保客户端也清除了Session ID。
