PHP для начинающих

Статья

Автор: Антон Шевчук ★ (id:2)
Дата: 2020-06-04 19:33:31

Категории: Программир.; Интернет, сети, web;

<h1>PHP для начинающих. Сессия PHP</h1><figure class="image"><img src="https://anton.shevchuk.name/wp-content/uploads/2016/02/elephpant.png" alt=""></figure><h4>Статья взята с сайта , <a href="https://anton.shevchuk.name">Антона Шевчука,</a> оригинал статьи можно почитать по <a href="https://anton.shevchuk.name/php/php-for-beginners-session/">здесь</a></h4><h4>Всем хорошего дня. Перед вами первая статья из серии PHP для начинающих разработчиков. Это будет необычная серия статей, тут не будет echo "Hello World", тут будет hardcore из жизни PHP программистов с небольшой примесью “домашней работы” для закрепления материала.</h4><h4>Начну с сессий – это один из самых важных компонентов, с которыми вам придется работать. Не понимая принципов его работы – наворотите делов. Так что во избежание проблем я постараюсь рассказать о всех возможных нюансах.</h4><h4>Но для начала, чтобы понять зачем нам сессия, обратимся к истокам – к HTTP протоколу.</h4><h4>HTTP Protocol</h4><h4>HTTP протокол – это HyperText Transfer Protocol — «протокол передачи гипертекста» – т.е. по сути – текстовый протокол, и его понять не составит труда.</h4><blockquote><h4>Изначально подразумевали, что по этому протоколу будет только HTML передаваться, отсель и название, а сейчас чего только не отправляют（•_ㅅ_•）=^.^=</h4></blockquote><h4>Чтобы не ходить вокруг да около, давайте я вам приведу пример общения по HTTP протоколу, вот запрос, каким его отправляет ваш браузер, когда вы запрашиваете страницу http://example.com:</h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p><p style="margin-left:!important;">3</p><p style="margin-left:!important;">4</p><p style="margin-left:!important;">5</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">GET / HTTP/1.1</p><p style="margin-left:!important;">Host: example.com</p><p style="margin-left:!important;">Accept: text/html</p><p style="margin-left:!important;">...пустая строка...</p></td></tr></tbody></table></figure><p>Request</p><h4>А вот пример ответа:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p><p style="margin-left:!important;">3</p><p style="margin-left:!important;">4</p><p style="margin-left:!important;">5</p><p style="margin-left:!important;">6</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">HTTP/1.1 200 OK</p><p style="margin-left:!important;">Content-Length: 1983</p><p style="margin-left:!important;">Content-Type: text/html; charset=utf-8</p><p style="margin-left:!important;">...</p><p style="margin-left:!important;">...</p></td></tr></tbody></table></figure><p>Response</p><h4>Это очень упрощенные примеры, но и тут можно увидеть из чего состоят HTTP запрос и ответ:</h4><h4><strong>стартовая строка</strong> – для запроса содержит метод и путь запрашиваемой страницы, для ответа – версию протокола и код ответа</h4><h4><strong>заголовки</strong> – имеют формат ключ-значение разделенные двоеточием, каждый новый заголовок пишется с новой строки</h4><h4><strong>тело сообщения</strong> – непосредственно HTML либо данные отделяют от заголовков двумя переносами строки, могут отсутствовать, как в приведенном запросе</h4><h4>Так, вроде с протоколом разобрались – он простой, ведёт свою историю аж с 1992-го года, так что идеальным его не назовешь, но какой есть – отправили запрос – получите ответ, и всё, сервер и клиент никоим образом более не связаны. Но подобный сценарий отнюдь не единственный возможный, у нас же может быть авторизация, сервер должен каким-то образом понимать, что вот этот запрос пришёл от определенного пользователя, т.е. клиент и сервер должны общаться в рамках некой сессии. И да, для этого придумали следующий механизм:</h4><h4>при авторизации пользователя, сервер генерирует и запоминает уникальный ключ – идентификатор сессии, и сообщает его браузеру</h4><h4>браузер сохраняет этот ключ, и при каждом последующем запросе, его отправляет</h4><h4>Для реализации этого механизма и были созданы <a href="https://en.wikipedia.org/wiki/HTTP_cookie">cookie</a> (куки, печеньки) – простые текстовые файлы на вашем компьютере, по файлу для каждого домена (хотя некоторые браузеры более продвинутые, и используют для хранения SQLite базу данных), при этом браузер накладывает ограничение на количество записей и размер хранимых данных (для большинства браузеров это 4096 байт, см. <a href="http://www.ietf.org/rfc/rfc2109.txt">RFC 2109</a> от 1997-го года)</h4><blockquote><h4>Т.е. если украсть cookie из вашего браузера, то можно будет зайти на вашу страничку в facebook от вашего имени Не пугайтесь, так сделать нельзя, по крайней мере с facebook, и дальше я вас научу как можно защититься от данного вида атаки на ваших пользователей.</h4></blockquote><h4>Давайте теперь посмотрим как изменятся наши запрос-ответ, будь там авторизация:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p><p style="margin-left:!important;">3</p><p style="margin-left:!important;">4</p><p style="margin-left:!important;">5</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">POST /login/ HTTP/1.1</p><p style="margin-left:!important;">Host: example.com</p><p style="margin-left:!important;">Accept: text/html</p><p style="margin-left:!important;">login=Username&password=Userpass</p></td></tr></tbody></table></figure><p>Request</p><h4>Метод у нас изменился на POST, и в теле запроса у нас передаются логин и пароль (если использовать метод GET, то строка запроса будет содержать логин и пароль, и может оказаться сохраненной на каких нибудь промежуточных прокси серверах, что очень плохо).</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p><p style="margin-left:!important;">3</p><p style="margin-left:!important;">4</p><p style="margin-left:!important;">5</p><p style="margin-left:!important;">6</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">HTTP/1.1 200 OK</p><p style="margin-left:!important;">Content-Type: text/html; charset=utf-8</p><p style="margin-left:!important;">Set-Cookie: KEY=VerySecretUniqueKey</p><p style="margin-left:!important;">...</p><p style="margin-left:!important;">...</p></td></tr></tbody></table></figure><p>Response</p><h4>Ответ сервер будет содержать заголовок Set-Cookie: KEY=VerySecretUniqueKey, что заставит браузер сохранить эти данные в файлы cookie, и при следующем обращении к серверу – они будут отправлены и опознаны сервером:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p><p style="margin-left:!important;">3</p><p style="margin-left:!important;">4</p><p style="margin-left:!important;">5</p><p style="margin-left:!important;">6</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">GET / HTTP/1.1</p><p style="margin-left:!important;">Host: example.com</p><p style="margin-left:!important;">Accept: text/html</p><p style="margin-left:!important;">Cookie: KEY=VerySecretUniqueKey</p><p style="margin-left:!important;">...пустая строка...</p></td></tr></tbody></table></figure><p>Request</p><blockquote><h4>Как можно заметить, заголовки отправляемые браузером (Request Headers) и сервером (Response Headers) отличаются, хотя есть и общие и для запросов и для ответов (General Headers)</h4></blockquote><h4>Сервер узнал нашего пользователя по присланным cookie, и дальше предоставит ему доступ к личной информации. Так, ну вроде с сессиями и HTTP разобрались, теперь можно вернутся к PHP и его особенностям.</h4><h4>PHP и сессия</h4><blockquote><h4>Я надеюсь, у вас уже установлен PHP на компьютере, т.к. дальше я буду приводить примеры, и их надо будет запускать</h4></blockquote><h4>Язык PHP создавался под стать протоколу HTTP – т.е. основная его задача – это дать ответ на HTTP запрос и “умереть” освободив память и ресурсы. Следовательно, и механизм сессий работает в PHP не в автоматическом режиме, а в ручном, и нужно знать что вызвать, да в каком порядке.</h4><blockquote><h4>Вот вам статейка на тему <a href="http://software-gunslinger.tumblr.com/post/47131406821/php-is-meant-to-die">PHP is meant to die</a>, или вот она же <a href="https://habrahabr.ru/post/179399/">на русском языке</a>, но лучше отложите её в закладки “на потом”.</h4></blockquote><h4>Перво-наперво необходимо “стартовать” сессию – для этого воспользуемся функцией <a href="http://php.net/function.session-start">session_start()</a>, создайте файл <i>session.start.php</i> со следующим содержимым:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">session_start();</p></td></tr></tbody></table></figure><h4>Запустите встроенный в PHP <a href="http://php.net/features.commandline.webserver">web-server</a> в папке с вашим скриптом:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">php -S 127.0.0.1:8080</p></td></tr></tbody></table></figure><h4>Запустите браузер, и откройте в нём Developer Tools (или <a href="https://en.wikipedia.org/wiki/Web_development_tools#Web_developer_tools_support">что там у вас</a>), далее перейдите на страницу http://127.0.0.1:8080/session.start.php — вы должны увидеть лишь пустую страницу, но не спешите закрывать — посмотрите на заголовки которые нам прислал сервер:</h4><figure class="image"><img src="http://anton.shevchuk.name/wp-content/uploads/2016/02/session.start_.cookie-460x222.png" alt="Cookie"></figure><h4>Там будет много чего, интересует нас только вот эта строчка в ответе сервера (почистите куки, если нет такой строчки, и обновите страницу):</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">Set-Cookie: PHPSESSID=dap83arr6r3b56e0q7t5i0qf91; path=/</p></td></tr></tbody></table></figure><h4>Увидев сие, браузер сохранит у себя куку с именем `PHPSESSID`:</h4><figure class="image"><img src="http://anton.shevchuk.name/wp-content/uploads/2016/02/session.start_.browser-460x410.png" alt="Browser session cookie"></figure><blockquote><h4>PHPSESSID – имя сессии по умолчанию, регулируется из конфига php.ini директивой <a href="http://php.net/session.configuration#ini.session.name">session.name</a>, при необходимости имя можно изменить в самом конфигурационном файле или с помощью функции <a href="http://php.net/function.session-name">session_name()</a></h4></blockquote><h4>И теперь – обновляем страничку, и видим, что браузер отправляет эту куку на сервер, можете попробовать пару раз обновить страницу, результат будет идентичным:</h4><p><img src="http://anton.shevchuk.name/wp-content/uploads/2016/02/session.start_.request-460x87.png" alt="Browser request with cookie"></p><h4>Итого, что мы имеем – теория совпала с практикой, и это просто отлично.</h4><h4>Следующий шаг – сохраним в сессию произвольное значение, для этого в PHP используется супер-глобальная переменная $_SESSION, сохранять будем текущее время – для этого вызовем функцию <a href="http://php.net/function.date">date()</a>:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p><p style="margin-left:!important;">3</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">session_start();</p><p style="margin-left:!important;">$_SESSION['time'] = date("H:i:s");</p><p style="margin-left:!important;">echo $_SESSION['time'];</p></td></tr></tbody></table></figure><h4>Обновляем страничку и видим время сервера, обновляем ещё раз – и время обновилось. Давайте теперь сделаем так, чтобы установленное время не изменялось при каждом обновлении страницы:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p><p style="margin-left:!important;">3</p><p style="margin-left:!important;">4</p><p style="margin-left:!important;">5</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">session_start();</p><p style="margin-left:!important;">if (!isset($_SESSION['time'])) {</p><p style="margin-left:!important;">$_SESSION['time'] = date("H:i:s");</p><p style="margin-left:!important;">}</p><p style="margin-left:!important;">echo $_SESSION['time'];</p></td></tr></tbody></table></figure><h4>Обновляем – время не меняется, то что нужно. Но при этом мы помним, PHP умирает, значит данную сессию он где-то хранит, и мы найдём это место…</h4><h4>Всё тайное становится явным</h4><h4>По умолчанию, PHP хранит сессию в файлах – за это отвечает директива <a href="http://php.net/session.configuration#ini.session.save-handler">session.save_handler</a>, путь по которому сохраняются файлы ищите в директиве <a href="http://php.net/session.configuration#ini.session.save-path">session.save_path</a>, либо воспользуйтесь функцией <a href="http://php.net/function.session-save-path">session_save_path()</a> для получения необходимого пути.</h4><blockquote><h4>В вашей конфигурации путь к файлам может быть не указан, тогда файлы сессии будут хранится во временных файлах вашей системы – вызовите функцию <a href="http://php.net/sys_get_temp_dir">sys_get_temp_dir()</a> и узнайте где это потаённое место.</h4></blockquote><h4>Так, идём по данному пути и находим ваш файл сессии (у меня это файл sess_dap83arr6r3b56e0q7t5i0qf91), откроем его в текстовом редакторе:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">time|s:8:"16:19:51";</p></td></tr></tbody></table></figure><h4>Как видим – вот оно наше время, вот в каком хитром формате хранится наша сессия, но мы можем внести правки, поменять время, или можем просто вписать любую строку, почему бы и нет:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">time|s:13:"\m/ (@.@) \m/";</p></td></tr></tbody></table></figure><h4>Для преобразования этой строки в массив нужно воспользоваться функцией <a href="http://php.net/function.session-decode">session_decode()</a>, для обратного преобразования – <a href="http://php.net/function.session-encode">session_encode()</a> – это зовется сериализацией, вот только в PHP для сессий – она своя – особенная, хотя можно использовать и стандартную <a href="http://php.net/function.serialize">PHP сериализацию</a> – пропишите в конфигурационной директиве <a href="http://php.net/session.configuration#ini.session.serialize-handler">session.serialize_handler</a> значение php_serialize и будет вам счастье, и $_SESSION можно будет использовать без ограничений – в качестве индекса теперь вы сможете использовать цифры и специальные символы | и ! в имени (за все 10+ лет работы, ни разу не надо было :)</h4><h4><strong>Задание</strong></h4><p>Напишите свою функцию, аналогичную по функционалу session_decode(), вот вам тестовый набор данных для сессии (для решения знаний регулярных выражений не требуется), текст для преобразования возьмите из файла вашей текущей сессии:</p><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">01</p><p style="margin-left:!important;">02</p><p style="margin-left:!important;">03</p><p style="margin-left:!important;">04</p><p style="margin-left:!important;">05</p><p style="margin-left:!important;">06</p><p style="margin-left:!important;">07</p><p style="margin-left:!important;">08</p><p style="margin-left:!important;">09</p><p style="margin-left:!important;">10</p><p style="margin-left:!important;">11</p><p style="margin-left:!important;">12</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:603px;"><p style="margin-left:!important;">$_SESSION['integer var'] = 123;</p><p style="margin-left:!important;">$_SESSION['float var'] = 1.23;</p><p style="margin-left:!important;">$_SESSION['octal var'] = 0x123;</p><p style="margin-left:!important;">$_SESSION['string var'] = "Hello world";</p><p style="margin-left:!important;">$_SESSION['array var'] = ['one', 'two', [1,2,3]];</p><p style="margin-left:!important;">$object = new stdClass();</p><p style="margin-left:!important;">$object->foo = 'bar';</p><p style="margin-left:!important;">$object->arr = ['hello', 'world'];</p><p style="margin-left:!important;">$_SESSION['object var'] = $object;</p><p style="margin-left:!important;">$_SESSION['integer again'] = 42;</p></td></tr></tbody></table></figure><h4>Так, что мы ещё не пробовали Правильно – украсть “печеньки”, давайте запустим другой браузер и добавим в него теже самые cookie. Я вам для этого простенький javascript написал, скопируйте его в консоль браузера и запустите, только не забудьте идентификатор сессии поменять на свой:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:997px;"><p style="margin-left:!important;">javascript:(function(){document.cookie='PHPSESSID=dap83arr6r3b56e0q7t5i0qf91;path=/;';window.location.reload();})()</p></td></tr></tbody></table></figure><h4>Вот теперь у вас оба браузера смотрят на одну и туже сессию. Я выше упоминал, что расскажу о способах защиты, рассмотрим самый простой способ – привяжем сессию к браузеру, точнее к тому, как браузер представляется серверу – будем запоминать <a href="https://en.wikipedia.org/wiki/User_agent">User-Agent</a> и проверять его каждый раз:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">01</p><p style="margin-left:!important;">02</p><p style="margin-left:!important;">03</p><p style="margin-left:!important;">04</p><p style="margin-left:!important;">05</p><p style="margin-left:!important;">06</p><p style="margin-left:!important;">07</p><p style="margin-left:!important;">08</p><p style="margin-left:!important;">09</p><p style="margin-left:!important;">10</p><p style="margin-left:!important;">11</p><p style="margin-left:!important;">12</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:603px;"><p style="margin-left:!important;">session_start();</p><p style="margin-left:!important;">if (!isset($_SESSION['time'])) {</p><p style="margin-left:!important;">$_SESSION['ua'] = $_SERVER['HTTP_USER_AGENT'];</p><p style="margin-left:!important;">$_SESSION['time'] = date("H:i:s");</p><p style="margin-left:!important;">}</p><p style="margin-left:!important;">if ($_SESSION['ua'] != $_SERVER['HTTP_USER_AGENT']) {</p><p style="margin-left:!important;">die('Wrong browser');</p><p style="margin-left:!important;">}</p><p style="margin-left:!important;">echo $_SESSION['time'];</p></td></tr></tbody></table></figure><h4>Это подделать сложнее, но всё ещё возможно, добавьте сюда ещё сохранение и проверку $_SERVER['REMOTE_ADDR'] и $_SERVER['HTTP_X_FORWARDED_FOR'], и это уже более-менее будет похоже на защиту от злоумышленников посягающих на наши “печеньки”.</h4><blockquote><h4>Ключевое слово в предыдущем абзаце <strong>похоже</strong>, в реальных проектах cookies уже давно «бегают» по HTTPS протоколу, таким образом никто их не сможет украсть без физического доступа к вашему компьютеру или смартфону</h4></blockquote><h4>Стоит упомянуть директиву <a href="http://php.net/session.configuration.php#ini.session.cookie-httponly">session.cookie-httponly</a>, благодаря ей сессионная кука будет недоступна из JavaScript’a. Кроме этого – если заглянуть в мануал функции <a href="http://php.net/function.setcookie">setcookie()</a>, то можно заметить, что последний параметр так же отвечает за HttpOnly. Помните об этом – эта настройка позволяет достаточно эффективно бороться с XSS атаками в практически <a href="http://www.browserscope.org/?category=security">всех браузерах</a>.</h4><h4><strong>Задание</strong></h4><p>Добавьте в код проверку на IP пользователя, если проверка не прошла – удалите скомпрометированную сессию.</p><h4>По шагам</h4><h4>А теперь поясню по шагам алгоритм, как работает сессия в PHP, на примере следующего кода (настройки по умолчанию):</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">session_start();</p><p style="margin-left:!important;">$_SESSION['id'] = 42;</p></td></tr></tbody></table></figure><h4>после вызова session_start() PHP ищет в cookie идентификатор сессии по имени прописанном в session.name – это PHPSESSID</h4><h4>если нет идентификатора – то он создаётся (см. <a href="http://php.net/function.session-id">session_id()</a>), и создаёт пустой файл сессии по пути session.save_path с именем sess_{session_id()}, в ответ сервера будет добавлены заголовки, для установки cookie {session_name()}={session_id()}</h4><h4>если идентификатор присутствует, то ищем файл сессии в папке session.save_path:</h4><h4>не находим – создаём пустой файл с именем sess_{$_COOKIE[session_name()]} (идентификатор может содержать лишь символы из диапазонов a-z, A-Z, 0-9, запятую и знак минус)</h4><h4>находим, читаем файл и распаковываем данные (см. <a href="http://php.net/function.session-decode">session_decode()</a>) в супер-глобальную переменную $_SESSION</h4><h4>когда скрипт закончил свою работу, то все данные из $_SESSION запаковывают с использованием session_encode() в файл по пути session.save_path с именем sess_{session_id()}</h4><h4><strong>Задание</strong></h4><p>Задайте в вашем браузере произвольное значение куки с именем PHPSESSID, пусть это будет 1234567890, обновите страницу, проверьте, что у вас создался новый файл sess_1234567890</p><h4>А есть ли жизнь без “печенек”</h4><h4>PHP может работать с сессией даже если cookie в браузере отключены, но тогда все URL на сайте будут содержать параметр с идентификатором вашей сессии, и да – это ещё настроить надо, но оно вам надо Мне не приходилось это использовать, но если очень хочется – я просто скажу где копать:</h4><h4><a href="http://php.net/session.configuration#ini.session.use-cookies">session.use_cookies</a></h4><h4><a href="http://php.net/session.configuration#ini.session.use-only-cookies">session.use_only_cookies</a></h4><h4>А если надо сессию в базе данных хранить</h4><h4>Для хранения сессии в БД потребуется изменить хранилище сессии и указать PHP как им пользоваться, для этой цели создан интерфейс <a href="http://php.net/class.sessionhandlerinterface">SessionHandlerInterface</a> и функция <a href="http://php.net/function.session-set-save-handler">session_set_save_handler</a>.</h4><blockquote><h4>Отдельно замечу, что не надо писать собственные обработчики сессий для redis и memcache – когда вы устанавливаете данные расширения, то вместе с ними идут и соответствующие обработчики, так что RTFM наше всё. Ну и да, обработчик нужно указывать до вызова session_start() ;)</h4></blockquote><h4><strong>Задание</strong></h4><p>Реализуйте SessionHandlerInterface для хранения сессии в MySQL, проверьте, работает ли он.<br>Это задание со звёздочкой, для тех кто уже познакомился с базами данных.</p><h4>Когда умирает сессия</h4><h4>Интересный вопрос, можете задать его матёрым разработчикам – когда PHP удаляет файлы просроченных сессий Ответ есть в официальном руководстве, но не в явном виде – так что запоминайте:</h4><h4>Сборщик мусора (garbage collection) может запускаться при вызове функции session_start(), вероятность запуска зависит от двух директив <a href="http://php.net/session.configuration#ini.session.gc-probability">session.gc_probability</a> и <a href="http://php.net/session.configuration#ini.session.gc-divisor">session.gc_divisor</a>, первая выступает в качестве делимого, вторая – делителя, и по умолчанию эти значения 1 и 100, т.е. вероятность того, что сборщик будет запущен и файлы сессий будут удалены – примерно 1%.</h4><h4><strong>Задание</strong></h4><p>Измените значение директивы session.gc_divisor так, чтобы сборщик мусора запускался каждый раз, проверьте что это так и происходит.</p><h4>Самая тривиальная ошибка</h4><h4>Ошибка у которой более полумиллиона результатов в выдаче Google:</h4><blockquote><h4>Cannot send session cookie – <strong>headers already sent</strong> by</h4><p>Cannot send session cache limiter – <strong>headers already sent</strong></p></blockquote><h4>Для получения таковой, создайте файл <i>session.error.php</i> со следующим содержимым:</h4><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">echo str_pad(' ', ini_get('output_buffering'));</p><p style="margin-left:!important;">session_start();</p></td></tr></tbody></table></figure><blockquote><h4>Во второй строке странная “магия” – это фокус с буфером вывода, я ещё расскажу о нём в одной из следующих статей, пока считайте это лишь строкой длинной в 4096 символов, в данном случае – это всё пробелы</h4></blockquote><h4>Запустите, предварительно удалив cookie, и получите приведенные ошибки, хоть текст ошибок и разный, но суть одна – поезд ушёл – сервер уже отправил браузеру содержимое страницы, и отправлять заголовки уже поздно, это не сработает, и в куках не появилось заветного идентификатора сессии. Если вы стокнулись с данной ошибкой – ищите место, где выводится текст</h4><p>раньше времени, это может быть пробел до символов в одном из подключаемых файлов, и ладно если это пробел, может быть и какой-нить непечатный символ вроде <a href="https://en.wikipedia.org/wiki/Byte_order_mark">BOM</a>, так что будьте внимательны, и вас сия зараза не коснется (как-же, … гомерический смех).</p><h4><strong>Задание</strong></h4><p>Для проверки полученных знаний, я хочу, чтобы вы реализовали свой собственный механизм сессий и заставили приведенный код работать:</p><h4> </h4><figure class="table"><table style="border-color:!important;border-width:0px;"><tbody><tr><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:auto !important;"><p style="margin-left:!important;">1</p><p style="margin-left:!important;">2</p><p style="margin-left:!important;">3</p><p style="margin-left:!important;">4</p><p style="margin-left:!important;">5</p><p style="margin-left:!important;">6</p><p style="margin-left:!important;">7</p></td><td style="border-color:!important;border-width:0px;height:auto !important;padding:0px !important;width:611px;"><p style="margin-left:!important;">require_once 'include/sess.php';</p><p style="margin-left:!important;">sess_start();</p><p style="margin-left:!important;">if (isset($_SESS["id"])) {</p><p style="margin-left:!important;">echo $_SESS["id"];</p><p style="margin-left:!important;">} else {</p><p style="margin-left:!important;">$_SESS["id"] = 42;</p><p style="margin-left:!important;">}</p></td></tr></tbody></table></figure><blockquote><h4>Для осуществления задуманного вам потребуется функция <a href="http://php.net/function.register-shutdown-function">register_shutdown_function()</a></h4></blockquote><h4>В заключение</h4><h4>В этой статье вам дано шесть заданий, при этом они касаются не только работы с <a href="http://php.net/ref.session">сессиями</a>, но так же познакомят вас с <a href="http://php.net/book.mysqli">MySQL</a> и с <a href="http://php.net/ref.strings">функциями работы со строками</a>. Для усвоения этого материала – отдельной статьи не нужно, хватит и мануала по приведенным ссылкам – никто за вас его читать не будет. Дерзайте!</h4><h4>P.S. Если узнали что-то новое из статьи – отблагодарите автора – зашарьте статью в социалках ;)</h4>

Комментарии: 1

borkich 2021-07-26 09:25:25

Много интересных вещей, кое-что из описанного использовал в данном приложении

Чтобы написать комментарий нужно, зарегистрироваться

Голосования и тесты: 2

	borkich ★ 2021-07-05 15:56:44 ★ ❆ Можно ли использовать переменные сессии как альтернативу методам GET и POST?
	borkich ★ 2021-07-05 15:56:44 ★ ❆ Когда команда session_start() вызовет ошибку?

	[11:50]
	[🔒]

Статьи, публикации, обзоры, заметки