php session机制

最新推荐文章于 2023-10-13 10:28:57 发布
最新推荐文章于 2023-10-13 10:28:57 发布
阅读量254 收藏
点赞数
分类专栏: PHP
原文链接:https://www.cnblogs.com/opensmarty/p/11078439.html
版权

【php】PHP中Session ID的实现原理

Session 的工作机制是:为每个访问者创建一个唯一的 id (UID),并基于这个 UID 来存储变量。UID 存储在 cookie 中,亦或通过 URL 进行传导。

PHPSESSIONID的生产算法原理如下:

hash_func = md5 / sha1 #可由php.ini配置

PHPSESSIONID = hash_func(客户端IP + 当前时间(秒)+ 当前时间(微妙)+ PHP自带的随机数生产器)

从以上hash_func(*)中的数据采样值的内容分析,多个用户在同一台服务器时所生产的PHPSESSIONID重复的概率极低(至少为百万份之一),设想,但台动态Web Server能到2000/rps已经很强悍了。

另外,黑客如果要猜出某一用户的PHPSESSIONID,则他也必须知道“客户端IP、当前时间(秒、微妙)、随机数”等数据方可模拟。

php.ini配置如下:

复制代码

; Select a hash function for use in generating session ids.
; Possible Values
;   0  (MD5 128 bits)
;   1  (SHA-1 160 bits)
; This option may also be set to the name of any hash function supported by
; the hash extension. A list of available hashes is returned by the hash_algos()
; function.
; http://php.net/session.hash-function
session.hash_function=0

复制代码

【PHP session工作原理】

以下以cookie传输PHPSESSID描述。


1. 客户端请求一个php的服务端地址。

2. 服务端收到请求,此次php脚本中包含session_start()。

3. 服务端会生成一个PHPSESSID。(默认session存储方式为session.save_handler=files,文件形式存储。生成的session文件名规则即为sess_PHPSESSID,session文件存在session.save_path中。)

4. 服务端响应首部Response Headers:Set-Cookie:PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50; path=/。在客户端生成一个cookie保存此PHPSESSID。

5. 此时,客户端的cookie里面包含了PHPSESSID,之后客户端的每次请求首部Request Headers:Cookie:PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50。服务端之后每次接收到客户端的请求就都能根据这个

PHPSESSID来找到服务端的session文件,通过对这个session文件的读写操作即实现了session的超全局变量属性。

如果客户端禁用了cookie,由于无法使用cookie传递PHPSESSID,那么客户端每次请求,服务端都会重新建立一个session文件,而无法通过通过PHPSESSID来重用session文件,所以session也就失效了。

这种情况可以设置session.use_trans_sid来传输PHPSESSID,具体实现方式与cookie的区别就是将PHPSESSID通过HTTP的GET传输。每次请求的地址里面都会补全PHPSESSID参数”url?

PHPSESSID=37vjjasgjdv2ouk1uomhgqkv50”来实现。

【PHPcli模式通过session_id()使用session】

可以通过它来获取当前会话的PHPSESSID,也可以通过它来设置当前的会话PHPSESSID。

PHPcli模式下可以通过设置这个,达到使用session的目的,非常方便。

例如:

复制代码

<?php
// session_id('vingbrv8m64asth0nhplu9gmb7');
session_start();
$_SESSION[md5(rand(100,999))] = rand(100,999);
var_dump($_SESSION);

复制代码

原文链接https://www.cnblogs.com/opensmarty/p/11078439.html

MaxLiuZhenGuo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP SESSION机制的理解与实例
01-02
PHP SESSION的保存机制... session_start()是session机制的开始,它有一定概率开启垃圾回收,因为session是存放在文件中,PHP自身的垃圾回收是无效的,SESSION的回收是要删文件的,这个概率是根据php.ini的配置决定的,
session传值_有没有了解过Session生成机制、回收机制和存储机制
weixin_34304211的博客
01-24 146
1、phpsession生成机制我们先来分析一下PHP中是怎么生成一个session的。设计出session的目的是保持每一个用户的各种状态来弥补HTTP协议的不足(无状态)。我们现在有一个疑问,我们都知道session是保存在服务器的,既然它用于保持每一个用户的状态那它利用什么来区别用户的呢?这个时候就得借助cookie了。当我们在代码中调用session_start();时,PHP同时往...
php session工作原理
键盘农夫
09-06 1516
在客户端登录网站时,被访问的PHP页面可以使用session_start()打开session,这样就产生客户端的唯一标识session id(可以通过session_id()获取/设置)。Session id可以通过两种方式保留在客户端。一种是自动加入到get的url中,或者
PHP基础-9】Session机制详解及Session身份认证应用案例
m0_64378913的博客
04-07 4715
目录1 Session 机制概述1.1 什么是Session1.2 Session作用1.3 session的运行机制:2 Session应用案例2.1 实验要求2.2 实验环境2.3 案例代码2.4 实验测试3 Session攻防3.1 话劫持3.1.1 含义3.1.2 攻击步骤3.1.3 防御方法3.2 话固定3.2.1 含义3.2.2 攻击步骤3.2.3 防御方法4 归纳参考文章 1 Session 机制概述 1.1 什么是Session 除了使用Cookie
PHP session相关知识详解
永远是少年
12-14 1109
今天继续给大家介绍渗透测试相关知识,本文主要内容是PHP session相关知识详解。 一、session简介 二、关于sessionPHP配置 三、关于sessionPHP函数 四、PHP session示例
php 命令执行中 PHPSESSID 妙用
y0un9er
10-02 7646
之前刷CTF的时候,遇到一个命令执行的题,看大佬的WP是通过PHPSESSID传值,绕过waf,最近有时间复现了一下。
php-session反序列化
weixin_63231007的博客
12-30 846
一篇对session反序列化原理的探索
PHP话技术session我不允许还有人不
最新发布
鸽芷咕的博客
10-13 594
Session在网络应用中称为“话”,在PHP 中用于保存用户连续访问Web应用时的相关数据,有助于创建高度定制化的程序、增加站点的吸引力。看到这里了还不给博主扣个:⛳️☀️⭐️关注!拜托拜托这个真的很重要!有问题可以评论或者私信呢秒回哦。
从手册去理解分析PHP session机制
10-28
session_start()是session机制的开始,它有一定概率开启垃圾回收,因为session是存放在文件中,PHP自身的垃圾回收是无效的,SESSION的回收是要删文件的,这个概率是根据php.ini的配置决定的
PHP Session机制简介及用法
10-25
主要介绍了PHP Session机制简介及用法,需要的朋友可以参考下
php详解session,phpsession原理详解
weixin_31952675的博客
03-17 499
SESSION:服务器端的话技术。为每一个访问者创建唯一的id(UID)(而且同一用户不同的浏览器也生成不同的UID),并基于这个id(UID)来存储变量;UID存储在cookie中,亦或者通过URL进行传导;Session底层实现、话实现原理Session话实现当用户A端第一次访问网站服务器时,服务器中确保有设置session的代码,那么服务器请求头header中返回一个字段set-c...
PHPsession cookie
hudeyong926的专栏
06-01 890
cookie和session有什么用? 常见的用法,比如在有些网站下载东西需要员先登陆。http协议本身是无状态的,无法得知顾客是否已经登陆,怎么办呢?cookie和session就可以知道。再比如网上购物,用户身份认证,程序状态记录。购物车怎么知道顾客挑选过哪些商品呢?cookie和session也可以记录。总而言之,cookie和session就是能够记录顾客状态的技术,尽管二者属于不同的技术,但只要cookie能做到的,session也能做到!如果session和cookie一样安全的话,二...
session详解--以php为例
S_ZaiJiangHu的博客
05-14 4609
原理 本质是保存对话信息,给客户端一个唯一标识,然后在服务端存储相应的数据。 最简单的demo 1分配id session_start();//使用这个函数 为对话生成一个默认的标识id 这是我们访问对应的接口,并且打开控制台网络,可以在响应头中看到: Set-Cookie: PHPSESSID=q10mlsnd8ve2393vstrc3qrjoq; path=/ 此时,php只是给客户端默认分配了一个phpsession的唯一标识,服务端是没有存储这个的。(redis方式没存 文件存储方式还没验证)
phpsession简单分析
yink12138的博客
01-05 1156
phpsession的原理
小程序request请求PHP服务器session失效的解决,header头部加cookie
Sol的博客
12-22 6330
经过各种百度查询,总算摸索出来了,跟php的小伙伴们分享下: app.js://登录流程 //获取openid 等信息并存储数据 wx.login({ success: function (res) { if (res.code) { //小程序第一次发起网络请求 wx.request({ u
phpsession详解
pakchoily的博客
01-04 2986
基本概念 由于http是无状态协议,所有每个话必须用session来区分身份。phpsession是被动GC来回收的,之后具体解释。 服务器里的session 在服务器中,session存在tmp中,以file类型存储。tmp的具体位置,在php.ini,中搜索:session.save_path,没被注释的就是真实地址,如下: 在tmp里的样子 这个sess_6cb1pj3n6tnr6t3oqiv8dhptnc,就是存在服务器中的session文件,每个话对应一个,文件里面包含了session
php 如何清除phpsessid,如何在客户端计算机上删除PHPSESSID
weixin_32382335的博客
03-11 677
问题的更新:>在某些浏览器上,我们有两个PHPSESSID。>一个PHPSESSID不是我在我的脚本中的任何地方设置的>它有HOST(而不是我设置的PHPSESSID的DOMAIN)作为www.mywebsite.com>我试过使用setcookie删除它:setcookie(“PHPSESSID”,$ _COOKIE [‘PHPSESSID’],time() – 8640...
php中的session详解,PHP中的session机制详解
weixin_34873655的博客
03-28 9222
Session是什么?首先,我们大概知道session是浏览器与服务器之间的一次交互话。那么话又是什么呢?顾名思义就是浏览器与服务器之间的对话,浏览器一关闭,话就结束了。说session不得不说的就是HTTP协议和cookie了我们都知道http协议是一个无状态的协议,就是说本次请求和上次请求没有任何关系。这就带了一个问题,如果请求的页面有关联,比如登录后访问首页,那么在首页怎么判断是登录...
PHP机制---session的基本使用
weixin_30284355的博客
07-03 145
PHP机制---session的基本使用 PHP机制---session的基本使用 1,思考:登录网站后,在每个网页都能拿到用户信息 (1) 使用超链接传递用户名,这样太繁琐了,不建议使用 。 (2) 使用数据库,每打开一个页面都查询一次用户信息表,这样网页加载速度变慢,用户体验变差。 (3) 使用cookie,登录成功后,服务器将用户信息...
php SESSION
05-21
PHP中的SESSION是一种在服务器端存储用户信息的机制。它允许在不同的页面或请求之间共享数据,而不需要将数据作为参数传递。SESSION通常用于存储用户登录状态、购物车内容、用户偏好设置等信息。 SESSION工作原理是,当用户第一次访问网站时,服务器为该用户创建一个唯一的SESSION ID,并将该ID存储在COOKIE中发送给客户端。每当客户端发送一个新请求时,服务器根据COOKIE中的SESSION ID查找该用户的SESSION信息并将其加载到内存中。在请求处理过程中,开发人员可以使用$_SESSION全局变量来操作SESSION数据。 下面是一个简单的示例,展示如何在PHP中使用SESSION: ``` // 开始SESSION session_start(); // 存储SESSION数据 $_SESSION['username'] = 'John'; // 访问SESSION数据 echo 'Hello, ' . $_SESSION['username']; // 销毁SESSION session_destroy(); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值