&reftitle.examples;
Основы использования
Сессии являются простым способом хранения информации для отдельных пользователей
с уникальным идентификатором сессии. Это может использоваться для сохранения
состояния между запросами страниц. Идентификаторы сессий обычно отправляются
браузеру через сессионный cookie и используются для получения имеющихся данных
сессии. Отсутствие идентификатора сессии или сессионного cookie сообщает PHP о том,
что необходимо создать новую сессию и сгенерировать новый идентификатор сессии.
Сессии используют простую технологию. Когда сессия создана, PHP будет либо получать
существующую сессию, используя переданный идентификатор (обычно из сессионного
cookie) или, если ничего не передавалось, будет создана новая сессия. PHP заполнит
суперглобальную переменную $_SESSION сессионной информацией
после того, как будет запущена сессия. Когда PHP завершает работу, он автоматически
сериализует содержимое суперглобальной переменной $_SESSION
и отправит для сохранения, используя сессионный обработчик для записи сессии.
По умолчанию PHP использует внутренний обработчик files
для сохранения сессий, который установлен в INI-переменной session.save_handler.
Этот обработчик сохраняет данные на сервере в директории, указанной в конфигурационной
директиве session.save_path.
Сессии могут запускаться вручную с помощью функции session_start.
Если директива session.auto_start установлена
в 1, сессия автоматически запустится, в начале запроса.
Сессия обычно завершает свою работу, когда PHP заканчивает исполнять скрипт, но может
быть завершена и вручную с помощью функции session_write_close.
Регистрация переменной с помощью <varname>$_SESSION</varname>.
]]>
Отмена объявления переменной с помощью <varname>$_SESSION</varname>.
]]>
НЕ ОЧИЩАЙТЕ $_SESSION целиком, используя
unset($_SESSION), так как это отключит возможность
регистрации сессионных переменных через суперглобальную переменную
$_SESSION.
Вы не можете использовать ссылки в сессионных переменных, так как не
существует реального способа восстановления ссылки к другой переменной.
Сессии, использующие файлы (по умолчанию в PHP), блокируют файл сессии
сразу при открытии сессии функцией session_start или
косвенно при указании session.auto_start.
После блокировки, ни один другой скрипт не может получить доступ к этому же файлу
сессии, пока он не будет закрыт или при завершении скрипта или при вызове функции
session_write_close.
Скорее всего это станет проблемой для сайтов, которые активно используют AJAX
и делают несколько одновременных запросов. Простейшим путём решить эту проблему
будет вызов функции session_write_close сразу же как только
все требуемые изменения в сессии будут сделаны, предпочтительно ближе к началу работы
скрипта. Также можно использовать другой механизм сессии, который поддерживает
конкурентный доступ.
Передача идентификатора сессии
Существуют два метода передачи идентификатора сессии:
Cookies
Параметр URL
Модуль сессии поддерживает оба метода. Метод с cookies является оптимальным,
но он не всегда доступен.
Поэтому PHP предоставляет второй способ, который внедряет идентификатор сессии
непосредственно в URL.
PHP умеет преобразовывать ссылки прозрачно.
Если session.use_trans_sid включена,
все относительные URI-адреса будут автоматически содержать идентификатор сессии.
Директива
arg_separator.output из
&php.ini; позволяет настраивать разделитель аргументов. Для полной
совместимости с XHTML следует указывать &.
В качестве альтернативы вы можете использовать константу
SID, которая устанавливается при запуске сессии.
Если клиентское ПО не хранит подходящую сессионную
cookie, SID имеет вид session_name=session_id.
В противном случае содержит пустую строку. Таким образом, вы можете
в любом случае внедрять его в URL.
Приведённый ниже пример демонстрирует, как зарегистрировать переменную и как
правильно построить ссылку на другую страницу, используя SID.
Подсчёт количества посещений конкретного пользователя
Здравствуйте, посетитель, вы видели эту страницу раз.
]]>
Функция htmlspecialchars может использоваться для вывода
SID с целью предотвращения XSS-атак.
Вывод SID способом, показанном выше, не является
обязательным, если опция
--enable-trans-sid была использована при компиляции PHP.
Подразумевается, что неотносительные URL-адреса указывают только на внешние сайты и
потому SID к ним не добавляется, т.к.
это представляло бы угрозу для безопасности, в частности, риск
утечки SID другому серверу.
Пользовательские обработчики сессии
Для реализации хранилища данных (или любого иного хранилища) следует
использовать session_set_save_handler, чтобы создать
набор пользовательских функций хранилища. Обработчики сессий можно создать,
используя класс SessionHandlerInterface, или расширить внутренние обработчики PHP,
унаследовав класс SessionHandler.
Функции обратного вызова, указанные в session_set_save_handler, являются методами,
вызываемыми PHP в течение жизненного цикла сессии: open, read,
write и close и для служебных задач:
destroy для удаления сессии и gc для периодической
сборки мусора.
Следовательно, в PHP всегда необходимы обработчики, сохраняющие сессии. По умолчанию работает
внутренний обработчик 'files', сохраняющий сессии в файлы. Пользовательский обработчик может быть установлен,
используя функцию session_set_save_handler. Альтернативные обработчики для сохранения сессии
также доступны в модулях PHP, таких как sqlite,
memcache и memcached и могут быть установлены с помощью
session.save_handler.
Когда стартует сессия, PHP внутренне вызовет обработчик open с последующим
вызовом обработчика read, который должен вернуть закодированную строку - в точности такую,
какая передавалась для сохранения. После возвращения обработчиком read закодированной строки, PHP
декодирует её и заполнит получившимся массивом суперглобальный массив $_SESSION.
Когда PHP завершает исполнение скрипта (или когда вызвана функция session_write_close),
PHP внутренне закодирует суперглобальный массив $_SESSION, и передаст
эти данные с идентификатором сессии функции обратного вызова write.
После того, как отработает функция обратного вызова write, PHP внутренне вызовет
обработчик функции обратного вызова close.
Когда сессия специально уничтожена, PHP вызовет обработчик destroy с
идентификатором сессии.
PHP будет вызывать обработчик функции обратного вызова gc время от времени,
чтобы пометить сессии как истёкшие в соответствии с временем жизни сессий.
Эта операция удалит все записи из постоянного хранилища, доступ к которым не осуществлялся
более чем интервал времени, указанный в параметре $lifetime.