淺析關(guān)于cookie和session(4)_PHP教程

教程Tag：暫無Tag,歡迎添加,賺取U幣!

推薦：PHP5中的this,self和parent關(guān)鍵字詳解
PHP5是一具備了大部分面向?qū)ο笳Z言的特性的語言,比PHP4有了很多的面向?qū)ο蟮奶匦?但是有部分概念也比較繞人,所以今天拿出來說說,說的不好,請(qǐng)高手見諒. (閱讀本文，需要了解PHP5的面向?qū)ο?/p>

2.6 常用session函數(shù):

以下為引用的內(nèi)容：

bool session_start(void); 初始化session
bool session_destroy(void): 刪除服務(wù)器端session關(guān)聯(lián)文件。
string session_id() 當(dāng)前session的id
string session_name() 當(dāng)前存取的session名稱,也就是客戶端保存session ID的cookie名稱.默認(rèn)PHPSESSID。
array session_get_cookie_params() 與這個(gè)session相關(guān)聯(lián)的session的細(xì)節(jié).
string session_cache_limiter() 控制使用session的頁面的客戶端緩存
ini session_cache_expire() 控制客戶端緩存時(shí)間
bool session_destroy() 刪除服務(wù)器端保存session信息的文件
void session_set_cookie_params ( int lifetime [, string path [, string domain [, bool secure [, bool httponly]]]] )設(shè)置與這個(gè)session相關(guān)聯(lián)的session的細(xì)節(jié)
bool session_set_save_handler ( callback open, callback close, callback read, callback write, callback destroy, callback gc )定義處理session的函數(shù),(不是使用默認(rèn)的方式)
bool session_regenerate_id([bool delete_old_session]) 分配新的session id

2.7 session安全問題
攻擊者通過投入很大的精力嘗試獲得現(xiàn)有用戶的有效會(huì)話ID,有了會(huì)話id,他們就有可能能夠在系統(tǒng)中擁有與此用戶相同的能力.
因此,我們主要解決的思路是效驗(yàn)session ID的有效性.

以下為引用的內(nèi)容：

<?php

if(!isset(_SESSION['user_agent'])){
_SESSION['user_agent'] = _SERVER['REMOTE_ADDR']._SERVER['HTTP_USER_AGENT'];
}

/* 如果用戶session ID是偽造 */
elseif (_SESSION['user_agent'] != _SERVER['REMOTE_ADDR'] . _SERVER['HTTP_USER_AGENT']) {
session_regenerate_id();
}
?>

2.8 Session通過cookie傳遞和通過SID傳遞的不同:

分享：解析PHP安全編程的加密功能
預(yù)備知識(shí) 在詳細(xì)介紹PHP的安全功能之前，我們需要花點(diǎn)時(shí)間來向沒有接觸過這方面內(nèi)容的讀者介紹一些有關(guān)密碼學(xué)的基本知識(shí)，如果對(duì)密碼學(xué)的基本概念已經(jīng)非常熟悉，就可以跳過去這一部分