PHP Session原理简析

已于 2022-07-16 15:34:05 修改
阅读量368 收藏 1
点赞数
分类专栏: 会话控制 文章标签: php 服务器 开发语言 web安全
于 2022-06-01 11:29:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37638874/article/details/125078998
版权

文章目录

为什么需要会话控制?(答:http协议是无状态的)

以下文字找不到出处了,我是很久之前好多文章混杂的抄在本地,原文作者见谅

大家都知道,我们目前使用的互联网应用层协议基本上都是基于HTTP和HTTPS的,它们的本事是无状态的只负责请求和响应。我们告诉服务器我们需要什么,服务器返回给我相应的资源。如果没有额外处理的话,服务器是不知道你是谁,更无法根据你是谁给你展现和你相关的内容了。

HTTP协议初期是为了学术交流,但如今互联网应用越来越广泛,论坛、购物网站等等都需要记录用户状态,cookiesessiontoken应运而生,我们这篇文章只结合PHP讲session,其他的你们自己查

session工作过程

session工作过程可以分为以下几个步骤:

浏览器第一次请求网站,服务端生成Session ID。
把生成的Session ID保存到服务端存储中。
把生成的Session ID返回给浏览器,通过set-cookie。
浏览器收到Session ID,在下一次发送请求时就会带上这个Session ID。
服务端收到浏览器发来的Session ID,从Session存储中找到用户状态存储,会话建立。
此后的请求都会交换这个Session ID,进行有状态的会话。

画了个流程图
在这里插入图片描述

PHP中的session

我们看一下PHP如何创建Session

<?php
// 启动session
session_start()// 声明一个名为admin的变量,并赋空值。
$_session["admin"] = null>

session_start()

启动session,根据session ID打开session文件,如果没有就创建一个ID(这个Session ID是通过一系列算法生成的一个唯一字符串)和对应的session文件。
session_start()函数必须位于标签之前

$_SESSION

存储和取回session变量

销毁session

unset()

unset()用于释放指定的session变量,只是把值清空,而变量还是存在的

session_destroy()

注销session,这个就是关闭session,并删除掉相应的session文件了。切断了客户端和服务端的联系。
session_destroy() 将重置 session,您将失去所有已存储的 session 数据。

session存在哪?

我们本地搭了个网站,然后登录成功后分了我们一个session,数据包里样的

在这里插入图片描述

我们再phpstudy下phpstudy_pro\Extensions\tmp\tmp

在这里插入图片描述

就能找到这个文件,打开

在这里插入图片描述

这就是我们当时赋给我们的session值,session存储是有格式的,我们这里只说一下这句session是什么意思

username是后台定义的session的名字
s是session存储的值为字符串
5是session值的长度

session渗透测试

一般session渗透测试通过以下三个方面,我不知道全不全,对不对,大哥们可以指正补充

1.session会话固定测
  例:抓包看看两次登录session值是否一样
2.session注销测试
  例:登录后获得session值,退出登录后,携带session值对服务器发起请求,看看能不能够做登录态的操作
3.session超时测试
  例:页面长时间不操作是否注销session

徐记荣
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHPSession ID的实现原理实例分析
01-02
本文实例讲述了PHPSession ID的实现原理。分享给大家供大家参考,具体如下: Session 的工作机制是:为每个访问者创建一个唯一的 id (UID),并基于这个 UID 来存储变量。UID 存储在 cookie 中,亦或通过 URL 进行传导。 PHPSESSIONID的生产算法原理如下: hash_func = md5 / sha1 #可由php.ini配置 PHPSESSIONID = hash_func(客户端IP + 当前时间(秒)+ 当前时间(微妙)+ PHP自带的随机数生产器) 从以上hash_func(*)中的数据采样值的内容分析,多个用户在同一台服务器时所生产的P
phpsession_id()的工作原理
u014265398的博客
10-16 1733
文章目录前言一.session工作原理1.session工作原理2.php.ini中session的配置信息3.测试session_id的存储二、session_id()工作原理1.官方文档说明总结 前言 我们知道,session是在服务器端保持用户会话数据的一种方法,对应的cookie是在客户端保持用户数据。HTTP协议是一种无状态协议,服务器响应完之后就失去了与浏览器的联系,最早,Netscape将cookie引入浏览器,使得数据可以客户端跨页面交换。 提示:以下是本篇文章正文内容,下面案例可
PHPSession ID是如何生成的?底层原理是什么?
长风破浪会有时的博客
04-01 400
总的来说,PHPSession ID生成是一个涉及随机数生成、会话跟踪、数据存储与检索以及安全性的复杂过程。这些底层机制确保了Web应用能够识别并跟踪其用户,从而提供个性化的体验和安全的交互。
java sessionid长度_phpsession_id()函数详细介绍,会话id生成过程及session id长度
weixin_39664696的博客
02-13 277
phpsession_id()函数原型及说明session_id()函数说明:stringsession_id([string$id])session_id() 可以用来获取/设置 当前会话 ID。为了能够将会话 ID 很方便的附加到 URL 之后, 你可以使用常量 SID 获取以字符串格...phpsession_id()函数原型及说明session_id()函数说明:string sess...
PHP基础知识 - 会话控制 - session
Chon.Wang
07-18 274
PHP 会话控制 session
sessionid生成机制php,Laravel中的Sessionid处理机制详解
weixin_35706067的博客
03-22 619
前言本文主要给大家介绍了关于Laravel中Sessionid处理机制的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。在 Laravel 的配置文件 config/session.php 中可以设置 Session Cookie Name,比如这个项目中设置名称为“sns_session”:/*|-------------------------------------...
php自己实现一个session,如何自己实现session功能
weixin_33342041的博客
03-10 301
session字如其意,它的存在就是为了保持会话状态。PHP中的$_SESSION让我们很方便的使用它,但是如果PHP本身不提供这个功能,我们该如何实现呢?且听我慢慢忽悠。session的实现原理session本身的实现原理其实很简单,几句话就可以说完用户首次访问时生成唯一ID(其实就是PHP中的session_id)根据session_id作为唯一标示,生成session_id为名称的文件(储存...
phpsession_php创建session的方法实例详解
weixin_29133959的博客
03-09 261
本文实例讲述了php创建session的方法。分享给大家供大家参考。具体分析如下:保存session只需要两个步骤,开启session和保存session数据。默认情况下,session保存在服务器端 c:\windows\temp文件夹下(保存的路径可以在php.ini文件中修改:开启session.save_path,填写上保存的路径即可)。session创建代码echo "------如何保...
PHP的cookie与session原理及用法详解
10-16
主要介绍了PHP的cookie与session原理及用法,结合实例形式详细分析了cookie与session原理php操作cookie与session的相关注意事项,需要的朋友可以参考下
session原理
02-24
session原理 session原理 session原理 session原理 session原理
PHP session有效期问题
10-30
PHP中的session有效期默认是1440秒(24分钟)【weiweiok 注:php5里默认的是180分】,也就是说,客户端超过24分钟没有刷新,当前session就会失效。很明显,这是不能满足需要的。
phpsession_PHP重写session机制
weixin_31738297的博客
03-09 228
众所周知,sessionweb应用中占有举足轻重的地位。而且,在很多情况下我们需要改变session的存储位置。当然了,改变session存储的位置可以在php.ini文件中直接修改。但是,这需要我们对服务器有足够的权限。可是事实却是在很多时候我们并没有权限去操作php.ini文件的权限。这时需要我们通过PHP提供的session_set_save_handler()函数来重写session。针...
phpsession_Php如何创建Session
weixin_39887221的博客
03-09 147
本篇文章主要介绍Php如何创建Session,感兴趣的朋友参考下,希望对大家有所帮助。相关专题推荐:php session(包含图文、视频、实战案例)启动 session 会话,并创建一个 $admin 变量:// 启动 session session_start();// 声明一个名为 admin 的变量,并赋空值。$_session["admin"] = null;?>如果你使用了 Se...
phpsession_php,_每次刷新页面都会生产新的session_id,php - phpStudy
weixin_39615741的博客
03-09 279
每次刷新页面都会生产新的session_id在测试通过 URL 来传递 session_id 的时候,发现没进行一次页面刷新,都会生成一个新的 session_id,有没有办法重用现有的 session_id ?代码:set_session.phpheader("Content-type:text/html;charset=utf-8");ini_set('session.use_trans_si...
PHP为什么要传递sessionid,如何传递sessionid?底层原理是什么?
长风破浪会有时的博客
03-27 352
底层原理是,当一个用户第一次访问一个需要使用Session的页面时,PHP会在服务器端为该用户创建一个新的Session,并生成一个唯一的Session ID。服务器会根据Session ID来获取或创建对应的Session,并将相关的数据存储在其中。当服务器端创建Session时,会在响应头中设置一个名为“Set-Cookie”的HTTP头部,包含Session ID的值。当用户在网站上进行操作时,PHP会检查请求中是否包含Session ID,并通过这个ID来获取或创建对应的Session
php mysql 实现 session_php如何实现session,自己实现session,laravel如何实现session
weixin_39805851的博客
02-08 106
1、php如何实现session执行php脚本,session_start()会从php.ini中读取配置项,将生成的唯一值sessionID保存文件放到配置项中的保存路径和地点。并通过HTTP协议返回响应消息头setCookieCookie名=Cookie值发送给客户端。客户端接受到Set-Cookie,将cookie值写入cookie文件在接下来的访问中,客户端会携带cookie访问浏览器,浏...
PHPSESSIONID生成原理
热门推荐
TrueMan's Blog
05-31 1万+
作为一个web程序猿,我们对session肯定都不陌生,session id是我们各自在服务器上的一个唯一标志,这个id串既可以由php自动来生成,也可以由我们来赋予。你们可能和我一样,很关心php自动生成的那个id串是怎么来的,冲突的概率有多大,以及容不容易被别人计算出来,所以有了下文。我们下载一份php5.3.6的源码,进入/ext/session目录,生成session id的函数位于ses...
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
最新发布
ALex_zry的博客
04-22 473
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
jsp中的session原理
06-09
在 JSP 中,session 是用于在服务器端存储用户信息的一种机制,它可以在多个请求之间共享数据。session 是通过 HttpSession 接口实现的,它的工作原理如下: 1. 当用户第一次访问某个 JSP 页面时,服务器会为该用户创建一个 session 对象,并将该 session 对象的 ID 存储在一个名为 JSESSIONID 的 cookie 中,然后将该 cookie 发送给客户端。 2. 当用户发送其他请求时,客户端会自动将 JSESSIONID 的 cookie 发送给服务器服务器会通过该 ID 来查找对应的 session 对象。 3. 当用户关闭浏览器或者 session 超时时,session 对象会被销毁,其中存储的用户信息也会被清除。 在 JSP 中,我们可以通过内置对象 session 来访问 session 对象,例如 session.getAttribute() 可以获取 session 中存储的属性值,session.setAttribute() 可以向 session 中存储属性值。session 对象是一个 Map 集合,可以存储任何类型的数据,例如基本数据类型、对象、集合等。需要注意的是,session 对象的属性值必须是可序列化的,否则会抛出 NotSerializableException 异常。 使用 session 可以方便地实现用户状态的管理,例如登录状态、购物车信息等。但是需要注意,如果 session 中存储的数据过多或者过于频繁地访问 session,会占用较多的服务器资源,降低服务器的性能。因此,在使用 session 时需要注意合理使用,避免滥用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值