什么是session
官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。主要有以下特点:
session保存的位置是在服务器端
session通常是要配合cookie使用
因为HTTP的无状态性,服务端产生了session来标识当前的用户状态
本质上,session就是一种可以维持服务器端的数据存储技术。即**session技术就是一种基于后端有别于数据库的临时存储数据的技术**
PHP session工作流程
以PHP为例,理解session的原理
1.PHP脚本使用 session_start()时开启session会话,会自动检测PHPSESSID* 如果Cookie中存在,获取PHPSESSID* 如果Cookie中不存在,创建一个PHPSESSID,并通过响应头以Cookie形式保存到浏览器2.初始化超全局变量$_SESSION为一个空数组3.PHP通过PHPSESSID去指定位置(PHPSESSID文件存储位置)匹配对应的文件* 存在该文件:读取文件内容(通过反序列化方式),将数据存储到$_SESSION中* 不存在该文件: session_start()创建一个PHPSESSID命名文件4.程序执行结束,将$_SESSION中保存的所有数据序列化存储到PHPSESSID对应的文件中具体原理图:
【一>所有资源获取<一】 1、网络安全学习路线 2、电子书籍(白帽子) 3、安全大厂内部视频 4、100份src文档 5、常见安全面试题 6、ctf大赛经典题目解析 7、全套工具包 8、应急响应笔记
php.ini session配置
php.ini里面有较重要的session配置项
session.save_path="/tmp"--设置session文件的存储位置
session.save_handler=files--设定用户自定义存储函数,如果想使用PHP内置session存储机制之外的可以使用这个函数
session.auto_start= 0--指定会话模块是否在请求开始时启动一个会话,默认值为 0,不启动
session.serialize_handler= php --定义用来序列化/反序列化的处理器名字,默认使用phpsession.upload_progress.enabled= On --启用上传进度跟踪,并填充$ _SESSION变量,默认启用
session.upload_progress.cleanup= oN --读取所有POST数据(即完成上传)后立即清理进度信息,默认启用
PHP session序列化机制
根据php.ini中的配置项,我们研究将$_SESSION中保存的所有数据序列化存储到PHPSESSID对应的文件中,使用的三种不同的处理格式,即session.serialize_handler定义的三种引擎:
处理器 |
对应的存储格式 |
php |
键名 + 竖线 + 经过 serialize() 函数反序列处理的值 |
php_binary |
键名的长度对应的 ASCII 字符 + 键名 + 经过 serialize() 函数反序列处理的值 |
php_serialize (php>=5.5.4) |
经过 serialize() 函数反序列处理的数组 |
php处理器
首先来看看默认s