CI中SESSION的用法及其注意

Session 类
Session类可以使用户在浏览您的网站时,维持他们的状态并跟踪他们的行为。 Session类将每个用户的session信息序列化(serialize)后存储到到cookie中(并同时进行加密)。您还可以将session数据存储到数据库中来增强安全性,但是这时要求存储在用户cookie中的session ID值能与数据库中存储的用户session ID值相匹配。程序默认只在cookie中存储session。如果您在要在数据库中存储session的话,需要按照下面指示的方法,在您的数据库中创建需要的数据表。

注意: Session类并不使用PHP本身的session,而是使用类自己的session,这样做,可以给开发者提供更大的弹性。

初始化 Session
Sessions会在每个页面载入后开始运行,所以session类必须首先被初始化。您可以在控制器中初始化,也可以在系统中自动加载(译者注:在autoload.php设定)。session类的绝大部分都会在后台运行,所以初始化session时,它session数据会被自动读取、创建和更新。

要在您的控制器构造函数中初始化session类,您可以使用 $this->load->library 函数:

$this->load->library(‘session’);

一旦被载入, session就可以这样使用: $this->session

Sessions 是怎样工作的?
当页面载入后,session类就会检查用户的cookie中是否存在有效的session数据。如果session数据不存在(或者已经过期),那么就会创建一个新的session并把他保存在cookie中。如果session数据存在,那么他的信息就会被更新,同时cookie也会被同时更新。每次更新都会重新生成session_id的值。

对于您来说,需要知道的非常重要的一点就是,session类一旦被初始化,它就会自动运行。对于后面的事情,您可以完全不作理会。正如您将会在下面看到的一样,您可以正常使用session来工作,甚至还可以添加自己的session数据,而在这一切的过程中,读、写和更新的操作都是自动完成的。

Session 数据是什么?
一个 session 是由一个包括下列信息的数组组成的:

唯一的用户Session ID (这是一个平均信息量统计出来的非常坚固的随机字符串,使用MD5加密,默认是每五分钟就重新生成一次。
用户的 IP 地址
用户浏览器信息(取前50个字符)
最新的一个活跃时间戳.
以上数据将会用以下数组格式序列化并存到cookie里:

[array]
(
‘session_id’ => random hash,
‘ip_address’ => ‘string – user IP address’,
‘user_agent’ => ‘string – user agent data’,
‘last_activity’ => timestamp
)

如果你将加密设置开启,serialized 的数组会被先被加密,然后存入cookie中。这会让数据不容易被看到和修改,从而提高安全性。从这里可以找到更多关于加密的信息。Session类会自动负责初始化和数据加密。

注意: 默认情况下, Session Cookie 每隔 5 分钟才会更新一次,这样会减少对处理器的负荷。如果你重复的装载页面, 你会发现”上次活动”的时间在五分钟,或多余五分钟的时候才会变化,也就是 cookie 上次被写入的时间。 这个时间可以通过设置 system/config/config.php 文件里的 $config[‘time_to_update‘] 行来改变。

取得 Session 数据
可以通过如下的函数来得到 session 数组的任何信息:

$this->session->userdata(‘item’);

item 是数组里的相对应数据的索引。例如,想要获得 session ID, 你要使用如下的代码:

$session_id = $this->session->userdata(‘session_id’);

注意: 如果你的目标数据不存在的话,这个函数会返回 FALSE (布尔值boolean)。

添加自定义的 Session 数据
session 数组的一个非常有用的用途是你可以它里面添加你自己的数据,这些数据会被保存在用户的 cookie 中。这样做的原因是什么呢?看看这个例子:

假设,有个特定用户登陆到你的网站, 当他通过检测后 你可以添加他的用户名和电子邮件到 session cookie 中,这些信息可以在不去访问数据库的情况下,当成全局量来使用。

通过以下函数,你可以传递一个新的用户数组到 session 数组中:

$this->session->set_userdata($array);

$array 是一个结合数组,用来存储你的新数据。例如 :

$newdata = array(
‘username’ => ‘johndoe’,
‘email’ => ‘[email protected]’,
‘logged_in’ => TRUE
);

$this->session->set_userdata($newdata);

如果使用下面 set_userdata()函数的写法,可以每次只添加一个用户数据。

$this->session->set_userdata(‘some_name’, ‘some_value’);

注意: Cookies 只能存储 4KB 的数据, 使用时要小心超出它的容量。特别指出的是,加密会产生比原数据更长的数据字符串,所以一定要当心你要存放数据的大小。

删除 Session 数据
正如使用 set_userdata() 是用来添加信息到 session 中,而通过向 unset_userdata() 函数中传递 session key 可以用来删除这些信息。例如, 你想要从 session 信息里去掉 ‘some_name’:

$this->session->unset_userdata(‘some_name’);

也可以给这个函数传一个要删除项的关联数组。

$array_items = array(‘username’ => ”, ‘email’ => ”);

$this->session->unset_userdata($array_items);

闪出数据
CodeIgniter 支持 “闪出数据”, 或者说Session数据只对下次服务器请求可用, 然后会自动清除。这应该会非常有用,往往应用在信息或状态提示中(例如:“记录2已删除”)。

注意: 闪出数据变量名以“flash_”开头,所以在你自己的变量名中要避免使用这个前缀。

要添加闪出数据:

$this->session->set_flashdata(‘item’, ‘value’);

你也可以使用和 set_flashdata() 同样的方式向 set_flashdata() 传递一个数组。

要读取一个闪出数据变量:

$this->session->flashdata(‘item’);

如果你发现你需要在一个附加的请求中保留一个闪出数据,你可以使用 keep_flashdata() 这个函数。

$this->session->keep_flashdata(‘item’);

将 Session 数据存入数据库
由于Session数据数组是附带一个Session ID保存在用户cookie里的,你无法验证它,除非你把session数据存储在数据库中。在一些不需要或很少需要安全保护的应用中,session ID 或许并不需要。但如果你的应用需要安全保护,验证是必须滴。

当session 数据在数据库中可用时,每当从用户cookie中发现一个有效的session,一个数据库查询就会被执行以匹配它。如果 session ID 不相配,session 就会被销毁。Session ID永远不会更新,它们只会在一个新的会话创建时生成。

为了存储session,你必须先创建一个数据表。这是 session 类所需的基本结构(用于MySQL的):

CREATE TABLE IF NOT EXISTS `ci_sessions` (
session_id varchar(40) DEFAULT ’0′ NOT NULL,
ip_address varchar(16) DEFAULT ’0′ NOT NULL,
user_agent varchar(50) NOT NULL,
last_activity int(10) unsigned DEFAULT 0 NOT NULL,
user_data text NOT NULL,
PRIMARY KEY (session_id)
);
注意: 默认情况下这个表叫做 ci_sessions, 但是你可以给它指定任意名字,只要你更新了 application/config/config.php 文件以确保它包含了你所起的名字。一旦你创建了数据表,你就可以像下面这样在config.php文件中启用数据库选项:

$config[‘sess_use_database‘] = TRUE;

一旦启用了,Session类就会在数据库中存储session数据。

同时确保你已经在配置文件中指定了数据表名:

$config[‘sess_table_name‘] = ‘ci_sessions”;

注意: Session类已经内置了清除过期session的垃圾回收机制,因此你不需要编写你自己的事务来做这个。

销毁 Session
要清除当前 session:

$this->session->sess_destroy();

注意: 此函数应该是最后被调用的。即使闪出变量已不再有效。如果你只想让某几项而不是所有项被销毁,请使用 unset_userdata().

Session 的参数
你可以在application/config/config.php 文件中找到以下的 Session 相关的参数:

参数 默认 选项 描述
sess_cookie_name ci_session 无 你想要保存 Session Cookie 的名字。
sess_expiration 7200 无 session 持续的秒数。默认是2个小时(7200秒)。如果将这个数值设为: 0,就可以得到 永久 session。
sess_encrypt_cookie FALSE TRUE/FALSE (布尔值boolean) 是否对 session 数据加密.
sess_use_database FALSE TRUE/FALSE (布尔值boolean) 是否将 session 数据存放入数据库中。在开启这个选项前,你要先创建一个数据库表。
sess_table_name ci_sessions 任何有效的 SQL 表名 session 数据库表的名字。
sess_time_to_update 300 时间以秒计算 这个选项控制 session 类多久会产生一个新的session 和 session id。
sess_match_ip FALSE TRUE/FALSE (布尔值boolean) 是否通过用户的IP地址来读取 session 的数据。 注意 ,有些网络运行商 ISPs 会动态的改变IP, 所以将这个选项设为 FALSE, 才有可能得到永久的 session。
sess_match_useragent TRUE TRUE/FALSE (布尔值boolean) 是否要按照对应的 User Agent 来读取 session 数据。

时间: 2024-10-17 11:33:42

CI中SESSION的用法及其注意的相关文章

php中session的用法

PHP 的Session的使用方法以及安全问题和session的注意事项,session使用过期时间设为0的cookie,并且将一个称为session ID的唯一标识符(一长串字符串),在服务器端同步生成一些session文件(可以自己定义session的保存类型),与用户机关联起来.web应用 程序存贮与这些session相关的数据,并且让数据随着用户在页面之间传递. 本文转自: http://blog.chinaunix.net/u/27731/showart_259031.html 访问网

【转载】C# 中Session的用法

C# 中对 Session 的“(string)”.“.ToString()”与“Convert.ToString”用法笔记 在实际操作当中,我们经常会遇到将 Session 的值转为 String 去判断是否为空或者判断是否有权限访问某页,这里的转换过程如果用得不恰当会抛出异常,给访问者带来不好的用户体验.这里我把它写成笔记,以供参考. 一.当 Session["a"] == null 时, Session["a"].ToString() 抛出异常: (strin

C# 中Session的用法

C# 中对 Session 的“(string)”.“.ToString()”与“Convert.ToString”用法笔记 在实际操作当中,我们经常会遇到将 Session 的值转为 String 去判断是否为空或者判断是否有权限访问某页,这里的转换过程如果用得不恰当会抛出异常,给访问者带来不好的用户体验.这里我把它写成笔记,以供参考. 一.当 Session["a"] == null 时, Session["a"].ToString() 抛出异常: (strin

requests中session的用法

正常情况下,我们想打开禅道的“组织”视图页面,是需要先在禅道的登录页面输入正确的用户名和密码点击登录,再切换到“组织”视图页面. 如果我们的python代码这样写的话,r1和r2的状态码都是200,但r2.text并不是我们想要的.这是因为,r1和r2请求相当于在2个不同的浏览器中,发出的两个请求,彼此是独立的,那么r2请求就相当于是在没有登录的情况下发出的请求. import requests paylod = {'account':'admin', 'password':'e10adc394

servlet中Session的用法

## (1)什么是Session? 服务器端为了保存用户的状态而创建的一个特殊的对象(即session对象).          当浏览器第一次访问服务器时,服务器会创建session对象(该     对象有一个唯一的id,一般称之为sessionId),接下来服务器会将     sessionId以cookie的方式发送给浏览器.         当浏览器再次访问服务器时,会将sessionId发送过来,服务器     就可以依据sessionId找到对应的sessinon对象.  ## (2

Spring MVC中Session的正确用法<转>

Spring MVC是个非常优秀的框架,其优秀之处继承自Spring本身依赖注入(Dependency Injection)的强大的模块化和可配置性,其设计处处透露着易用性.可复用性与易集成性.优良的设计模式遍及各处,使得其框架虽然学习曲线陡峭,但 一旦掌握则欲罢不能.初学者并不需要过多了解框架的实现原理,随便搜一下如何使用“基于注解的controller”就能很快上手,而一些书籍诸如 “spring in action”也给上手提供了非常优良的选择. 网上的帖子多如牛毛,中文的快速上手,英文的

PHP中SESSION与COOKIE的详细用法

1. PHP的COOKIEcookie 是一种在远程浏览器端储存数据并以此来跟踪和识别用户的机制.PHP在http协议的头信息里发送cookie, 因此 setcookie() 函数必须在其它信息被输出到浏览器前调用,这和对 header() 函数的限制类似.1.1 设置cookie:可以用 setcookie() 或 setrawcookie() 函数来设置 cookie.也可以通过向客户端直接发送http头来设置.1.1.1 使用setcookie()函数设置cookie:bool setc

webform中Session和Cookies对象的用法、登录保持

一 .webform中Session和Cookies对象的用法 1.Session: Session:在计算机中,尤其是在网络应用中,称为"会话控制".Session 对象存储特定用户会话所需的属性及配置信息.这样,当用户在应用程序的 Web页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去.当用户请求来自应用程序的 Web 页时,如果该 用户还没有会话,则 Web 服务器将自动创建一个 Session 对象.当会话过期或被放弃后,服务器将终

java中session和application的用法

Session的用法 首先创建2个jsp文件t1.jsp  t2.jsp 在t1.jsp <% //设置session的键与值 session.setAttribute("abc", 0); %> 在t2.jsp中 用EL表达式获取session的值(注意:EL表达式只用于3.0以上的版本) ${abc} (3.0以下的版本就要用) int i = (Integer)session.getAttribute("abc"); out.println(&qu