zoukankan      html  css  js  c++  java
  • Session机制

    http://blog.csdn.net/yanghua_kobe/article/details/7213914,细说cookie和cache

    http://blog.sina.com.cn/s/blog_461c24d50100i44g.html


    Session 的工作机制是:为每个访问者创建一个唯一的 id (UID),并基于这个 UID 来存储变量。UID 存储在 cookie 中,亦或通过 URL 进行传导。


    前序:


    首先要明白PHPSESSID看似多次刷新都不会改变其实是没有删除本地相关联的cookie,删除的方法

    session_destroy();//删除服务器端的session文件

    setcookie(session_name(),'',time()-3600,'/');//删除本地相关联的cookie

    session_unset();//清空内存中的cookie或者是$_SESSION = array();

    然后再刷新相应的页面你就会看到PHPSESSID会发生变化了,根据此可以得:如果session文件已经创建则不重新生成PHPSESSID,否则需要重新生成,生成规则,就看下边喽……!



    --------------------------------------------------------------------------------------------------------------------------------------

    现在经过测试应该是不是检测session文件是否存在,而是检测PHPSESSID的cookie是否存在并且是否未过期!特此更正!

    ------------------------------------------------------------------------------------------------

    可能PHP开发者心中多少都思考过这么两个问题:

    种植在客户端浏览器中的PHPSESSIONID会出现重复吗?
    PHPSESSIONID安全性如何,有没可能被黑客轻易的仿造呢?
    带上这个问题,我稍微注意了一下PHP的源码后,疑问也就有了答案。

    PHP在使用默认的 session.save_handler = files 方式时,PHPSESSIONID的生产算法原理如下:


    hash_func = md5 / sha1 #可由php.ini配置
    PHPSESSIONID = hash_func(客户端IP + 当前时间(秒)+ 当前时间(微妙)+ PHP自带的随机数生产器)

    从以上hash_func(*)中的数据采样值的内容分析,多个用户在同一台服务器时所生产的PHPSESSIONID重复的概率极低(至少为百万份之一),设想,但台动态Web Server能到2000/rps已经很强悍了。

    另外,黑客如果要猜出某一用户的PHPSESSIONID,则他也必须知道“客户端IP、当前时间(秒、微妙)、随机数”等数据方可模拟。

    以下是截取PHP源码中PHPSESSIONID实现片段:

    gettimeofday(&tv, NULL);

    if (
    zend_hash_find(&EG(symbol_table), "_SERVER", sizeof("_SERVER"), (void **) &array) == SUCCESS &&
    Z_TYPE_PP(array) == IS_ARRAY && zend_hash_find(Z_ARRVAL_PP(array), "REMOTE_ADDR", sizeof("REMOTE_ADDR"), (void **) &token) == SUCCESS)
    {
    remote_addr = Z_STRVAL_PP(token);
    }


    spprintf(&buf, 0, "%.15s%ld%ld%0.8F", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10);

    switch (PS(hash_func))
    {
    case PS_HASH_FUNC_MD5:
    PHP_MD5Init(&md5_context);
    PHP_MD5Update(&md5_context, (unsigned char *) buf, strlen(buf));
    digest_len = 16;
    break;
    case PS_HASH_FUNC_SHA1:
    PHP_SHA1Init(&sha1_context);
    PHP_SHA1Update(&sha1_context, (unsigned char *) buf, strlen(buf));
    digest_len = 20;
    break;
    default:
    php_error_docref(NULL TSRMLS_CC, E_ERROR, "Invalid session hash function");
    efree(buf);
    return NULL;
    }

    转自:http://blog.csdn.net/luguo0816/article/details/7214071

  • 相关阅读:
    postgresql 在linux下导出数据
    第一次linux下安装nginx记录
    第一次搭建redis集群
    手动mvn install指令向maven本地仓库安装jar包
    windows10下Kafka环境搭建
    在win10环境下搭建 solr 开发环境
    git 常用命令
    生成文件夹的树结构信息
    List集合和JSON互转工具类
    Cmd命令 查看端口被占用
  • 原文地址:https://www.cnblogs.com/linguoguo/p/5109034.html
Copyright © 2011-2022 走看看