php session原理

最新推荐文章于 2025-08-09 14:59:10 发布
最新推荐文章于 2025-08-09 14:59:10 发布
阅读量696 收藏
点赞数
分类专栏: php 文章标签: session php 服务器 浏览器 mfc web服务
本文详细介绍了PHP session的工作原理、操作方式以及在不同场景下的应用实例,包括如何使用session存储数据、session的实现机制、流程解析以及实例问题解决策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://blog.sina.com.cn/s/blog_610997850100qoth.html


一直在使用http://www.jzxue.com/tag/session/" target="_blank">session存储数据,一直没有好好总结一下session的使用方式以及其工作原理,今天在这里做一下梳理。
这里的介绍主要是基于php语言,其他的语言操作可能会有差别,但基本的原理不变。

1.在php中如何操作session:

session_start(); //使用该函数打开session功能

$_SESSION  //使用预定义全局变量操作数据

使用unset($_SESSION['key']) //销毁一个session的值

简单地操作,一切都是由服务器实现;由于处理在后台,一切看起来也很安全。但是session采用什么样机制,又是怎样被实现,并且如何来保持会话的状态的呢?

2.session实现与工作原理

浏览器和服务器采用http无状态的通讯,为了保持客户端的状态,使用session来达到这个目的。然而服务端是怎么样标示不同的客户端或用户呢?
这里我们可以使用生活中的一个例子,假如你参加一个晚会,认识了很多人,你会采取什么方式来区分不同的人呢!你可能根据脸型,也有可能根据用户的名字,
或者人的身份证,即采用一个独一无二的标示。在session机制中,也采用了这样的一个唯一的session_id来标示不同的用户,不同的是:浏览器每次请求都会带上
由服务器为它生成的session_id.

简单介绍一下流程:当客户端访问服务器时,服务器根据需求设置session,将会话信息保存在服务器上,同时将标示session的session_id传递给客户端浏览器,
浏览器将这个session_id保存在内存中(还有其他的存储方式,例如写在url中),我们称之为无过期时间的cookie。浏览器关闭后,这个cookie就清掉了,它不会存在用户的cookie临时文件。
以后浏览器每次请求都会额外加上这个参数值,再服务器根据这个session_id,就能取得客户端的数据状态。

如果客户端浏览器意外关闭,服务器保存的session数据不是立即释放,此时数据还会存在,只要我们知道那个session_id,就可以继续通过请求获得此session的信息;但是这个时候后台的session还存在,但是session的保存有一个过期
时间,一旦超过规定时间没有客户端请求时,他就会清除这个session。

下面介绍一下session的存储机制,默认的session是保存在files中,即以文件的方式保存session数据。在php中主要根据php.ini的配置session.save_handler
来选择保存session的方式。

这里顺便说明一下,如果要做服务器的lvs,即多台server的话,我们一般使用memcached的方式session,否则会导致一些请求找不到session。
一个简单的memcache配置:
session.save_handler = memcache
session.save_path = "tcp://10.28.41.84:10001"

当然如果一定要使用files文件缓存,我们可以将文件作nfs,将所有的保存session文件定位到一个地方。

刚才讲返回给用户的session-id最终保存在内存中,这里我们也可以设置参数将其保存在用户的url中。



3.实例问题
现有系统A,B; 假设A系统是可以独立运行的web系统,即可以和浏览器直接处理session, B系统是基于mobile的,需要调用A系统的功能接口,
在保持A不改变的情况下,即登陆验证,session存储都不变的情况下,B系统能处理前端用户的请求。

这里提供的方案是使用PHP实现

在用户登陆成功后,将保存的session的session-id返回给B系统,然后B系统每次请求其他接口都带session_id。
A系统在session_start前加上session_id(session_id);

这样B系统就能安全的调用A

***************************************************************************************************************************************************************************************

众所周知,http协议是一个无状态协议,简单来说就是,web服务器是不知道现在连接上来的人到底是哪个人,为了满足选择性发送信息的需求,在http的基础上做了很多扩展来达到这个目的,如数字签名、cookie、session等。

web服务器或者web程序如何能够知道现在连接上来的是谁?要解决这个问题,首先需要在服务器端和客户端建立一一对应关系,下边我通过抓取http的内容来说明这种对应关系是如何建立的。
我使用的是一个叫做httplook的http包嗅探工具,然后在本地web服务器的根目录下建立一个叫test.php的文件,地址是:http://localhost/test.php,一切就绪以后我通过浏览器反复打开这个页面。


<?php

session_start();

if (isset($_SESSION['test_sess'])){

$_SESSION['test_sess']++;

}else{

$_SESSION['test_sess'] = 0;

}

echo $_SESSION['test_sess'];

?>;


以下是前两次向服务器发出的信息及服务器返回的信息
引用:原帖由 "第一次请求服务器" 发表:

GET /test.php HTTP/1.1
Accept: */*
Referer: http://localhost/
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322)
Host: localhost
Connection: Keep-Alive


引用:原帖由 "服务器第一次返回" 发表:

HTTP/1.1 200 OK
Date: Fri, 26 Aug 2005 07:44:22 GMT
Server: Apache/2.0.54 (Win32) SVN/1.2.1 PHP/5.0.4 DAV/2
X-Powered-By: PHP/5.0.4
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 1
Keep-Alive: timeout=15, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
Content-Language: Off


引用:原帖由 "第二次请求服务器" 发表:

GET /test.php HTTP/1.1
Accept: */*
Referer: http://localhost/
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322)
Host: localhost
Connection: Keep-Alive
Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3


引用:原帖由 "服务器第二次返回" 发表:

HTTP/1.1 200 OK
Date: Fri, 26 Aug 2005 07:44:23 GMT
Server: Apache/2.0.54 (Win32) SVN/1.2.1 PHP/5.0.4 DAV/2
X-Powered-By: PHP/5.0.4
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 1
Keep-Alive: timeout=15, max=98
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
Content-Language: Off



仔细对比这些输出,第二次请求比第一次请求多出来的就是:
Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3
这个header将会向服务器发送一个cookie信息,告诉服务器我有一个cookie,名字叫PHPSESSID,内容是bmmc3mfc94ncdr15ujitjogma3。
这个cookie是怎么来的呢?看第一次服务器返回的信息里边有:
Set-Cookie: PHPSESSID=bmmc3mfc94ncdr15ujitjogma3; path=/
这是服务器向客户端浏览器写一个cookie,名字是PHPSESSID,值是bmmc3mfc94ncdr15ujitjogma3,这个值实际就是所谓的session_id。
继续看第二次向服务器发出的请求,仍然向服务器发送了PHPSESSID这个cookie

可以得到以下结论:
1、只要使用了session,就会通过cookie的方式向客户端浏览器发送session
2、每次向服务器发出请求的时候,本地浏览器会把cookie附带在请求信息中

说到这里,服务器端和客户端如何通过session做到一一对应的答案就很清楚了,明白了这个道理,对于使用session有很大帮助,请细细体会。
php之$_SESSION的理解,session原理总结
weixin_35682327的博客
03-18 4325
我不生产知识,只做知识的搬运工 知其所以然,了解背后的思想,简单复制模仿学不到本质之前在学校的时候,只知道session与cookie的区别在于:session是保存在服务器端,cookie保存在客户端。session怎么样保存的?以文件的形式保存。自己去测试过。有的忘记了。对应session的id号模糊不清。在开发中,非常有必要弄明白具体细节。不能停留在使用session_start()函数了,...
解析phpsession的实现原理以及大网站应用应注意的问题
12-18
总的来说,理解PHP Session的工作原理以及如何优化其性能对于开发高效且可靠的Web应用至关重要。开发者应根据网站的规模、流量和资源状况,选择合适的Session管理策略,以确保用户体验的连贯性和系统的可扩展性。
PHP Session原理简析
m0_37638874的博客
06-01 825
这就是我们当时赋给我们的session值,session存储是有格式的,我们这里只说一下这句session是什么意思。注销session,这个就是关闭session,并删除掉相应的session文件了。session_destroy()将重置session,您将失去所有已存储的session数据。大家都知道,我们目前使用的互联网应用层协议基本上都是基于HTTP和HTTPS的,它们的本事是。我们本地搭了个网站,然后登录成功后分了我们一个session,数据包里样的。是后台定义的session的名字。...
php详解session,phpsession原理详解
weixin_31952675的博客
03-17 599
SESSION服务器端的会话技术。为每一个访问者创建唯一的id(UID)(而且同一用户不同的浏览器也会生成不同的UID),并基于这个id(UID)来存储变量;UID存储在cookie中,亦或者通过URL进行传导;Session底层实现、会话实现原理Session会话实现当用户A端第一次访问网站服务器时,服务器中确保有设置session的代码,那么服务器请求头header中会返回一个字段set-c...
PHP SESSION原理
ahjxhy2010的博客
11-03 625
PHP SESSION原理 HTTP请求一个页面后,如果用到开启session,会去读cookie中的PHPSESSID是否有,如果没有,则会新生成一个session_id,先存入cookie中的PHPSESSID中,再生成一个sess_前缀文件。当有写入$_SESSION的时候,就会往sess_文件里序列化写入数据。当读取的session变量的时候,先会读取cookie中的PHPSESSID,...
PHP SESSION机制原理详解
weixin_38597669的博客
11-13 940
本文介绍了session的工作原理,以及php session扩展对session的管理方式,和利用session类自定义对session的管理策略,比如利用memecache,redis作为session内容的存储器
PHP SESSION 原理
徐杰的专栏
01-07 606
一、PHP SESSION原理我们知道,session是在服务器端保持用户会话数据的一种方法,对应的cookie是在客户端保持用户数据。HTTP协议是一种无状态协议,服务器响应完之后就失去了与浏览器的联系,最早,Netscape将cookie引入浏览器,使得数据可以客户端跨页面交换,那么服务器是如何记住众多用户的会话数据呢?首先要将客户端和服务器端建立一一联系,每个客户端都得有
借csrf理解session原理
热门推荐
Love&Share
04-16 1万+
CSRF xss利用站点内的信任用户,csrf通过伪装成受信任用户请求受信任的网站,即攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作 攻击两个重点: 目标用户已经登陆了网站,能够执行网站的功能 目标用户访问了攻击者构造的 url 借助 burpsuite 生成 poc 将 poc 保存至 html 文件中并发布,诱导目标用户访问给文件 PHP会话(sessionPHP 会话(session)实现用户登录的实现原理 session 是以文本形式存储到服务端的,php 自动修改 sessi
session原理
bad7code的博客
06-17 614
PHP SESSION原理 我们知道,session是在服务器端保持用户会话数据的一种方法,对应的cookie是在客户端保持用户数据。HTTP协议是一种无状态协议,服务器响应完之后就失去了与浏览器的联系,最早,Netscape将cookie引入浏览器,使得数据可以客户端跨页面交换,那么服务器是如何记住众多用户的会话数据呢? 首先要将客户端和服务器端建立一一联系,每个客户端都得有一个唯一标识,这
PHP Session原理分析及使用
dabao1989的专栏
05-23 693
之前在一个叫魔法实验室的博客中看过一篇《php session原理彻底分析》的文章,作者从session的使用角度很好阐述了在代码运行过程中,每个环节的变化以及相关参数的设置及作用。本来想把原文转帖过来,但是原博客被关闭了。不知是这次大范围的重新备案,还是其他什么原因所致。通过百度快照找到一些原文资料,没找到的将按之前的理解重新整理,以使大家对session能有更多了解。 楔子:Sessio
PHP的cookie与session原理及用法详解
10-16
本文将深入探讨这两种技术的原理、用法以及PHP中操作它们的方法。 首先,理解cookie的产生背景。由于HTTP协议是无状态的,服务器无法记住两次请求之间的关联,为了解决这个问题,cookie应运而生。cookie存储在...
【BUUCTF系列】[极客大挑战 2019]Secret File 1
2402_84408069的博客
08-08 1090
技术文章摘要本文分析了一个文件包含漏洞的利用过程。通过F12开发者工具和Burp抓包发现隐藏的secr3t.php文件,其源码存在文件包含功能但过滤了../、tp等关键词。研究采用php://filter伪协议绕过防护,通过Base64编码读取flag.php内容。最终解码获取flag,完整演示了从信息收集到漏洞利用的全流程。文末特别强调技术研究的合法边界,要求所有测试必须获得授权,并遵守最小影响原则和数据保护法规。
基于PHP的快递管理系统的设计与实现
weixin_47958760的博客
08-06 468
管理员: 登录:管理员可以通过用户名和密码登录系统,进入管理员后台管理界面。 个人中心:管理员可以查看和编辑个人信息,如姓名、联系方式等。 用户管理:管理员可以管理系统中的用户信息,包括添加新用户、编辑用户信息、查看用户列表、禁用或删除用户等操作。 取件通知管理:管理员可以管理取件通知,包括查看取件通知列表、发送取件通知、修改取件通知内容等。 快递信息管理:管理员可以管理系统中的快递信息,包括录入快递信息、查看快递详情、修改快递状态等操作。 取件信息管理:管理员可以管理用户的取件信息,包括记录用户的取件时间
网络拨测和业务拨测是什么意思
Mr_wilson_liu的博客
08-06 625
是IT运维和监控中常用的两种测试方法,用于评估网络或业务系统的健康状态、性能及可用性。它们的侧重点不同,但目的都是提前发现潜在问题,保障系统稳定运行。网络拨测是通过模拟用户访问网络的行为(如发送ICMP、TCP、UDP等协议的数据包),检测网络链路的连通性、延迟、丢包率、抖动等基础指标,验证网络是否通畅。业务拨测是通过模拟真实用户操作(如HTTP请求、数据库查询、API调用等),验证业务系统的功能是否正常、响应是否符合预期,直接反映业务可用性。
本地部署数据库管理系统 Adminer 并实现外部访问
lyxnwct的博客
08-06 365
Adminer 是一款轻量级开源免费的数据库管理工具,支持多种数据库引擎,提供了图形化界面。允许用户允许通过浏览器来管理常见数据库,适合个人开发到企业级应用的数据库管理需求。本文将详细介绍如何在本地通过 XAMPP 安装 Adminer 以及结合路由侠内网穿透实现外网访问 Adminer。
2G内存的服务器用宝塔安装php的fileinfo拓展时总是卡死无法安装成功的解决办法
最新发布
xiangweiqiang的博客
08-09 252
本文介绍了在Linux系统中临时增加Swap空间并编译安装PHP fileinfo扩展的步骤。首先通过创建4G Swap文件解决内存不足问题,然后使用单核编译fileinfo扩展以避免内存溢出。完成安装后,需重启PHP服务并确认扩展加载成功,最后移除临时Swap文件。整个过程包括Swap管理、扩展编译、服务重启和配置验证等关键步骤。
静态路由主备切换
2401_83911225的博客
08-08 679
路由器仅自动学习直连路由(10.0.12.0/24、10.0.13.0/24),但10.0.2.2/24(R2 的 Loopback0)、10.0.3.3/24(R3 的 Loopback0)、10.0.23.0/24这些是非直连网络,需手动添加路由规则,否则路由器不知道如何转发数据包。区分主备路径,利用设备对路由优先级的选择机制,实现故障时的自动切换。在网络中,静态路由的主备切换是实现网络冗余的基础方案之一,通过配置不同优先级的静态路由,确保主用路径故障时,流量能自动切换到备用路径,提升网络可靠性。
深入理解PHP Session原理与应用
2. **Session的工作原理** 当用户访问网站并启动Session时,服务器会为该用户生成一个唯一的Session ID,并将其保存在服务器端。同时,这个Session ID通过Cookie或隐藏表单字段的形式发送给客户端(通常是浏览器)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值