PHP Session通过session_start()启用,以$_SESSION存储数据,支持销毁、安全配置、自定义处理器、跨域共享及防固定攻击。
当用户访问PHP网站时,服务器需要在多个请求之间保持用户状态,Session会话机制正是实现这一目标的核心技术。以下是PHP中Session会话管理的具体方法与机制说明:
一、启用并初始化Session
PHP默认不自动启动Session,必须显式调用函数来开启会话并创建或恢复会话上下文。该操作应在任何输出发送到浏览器前执行,否则会触发“headers already sent”错误。
1、在PHP脚本最顶部添加session_start()函数调用。
2、确保该语句前无空格、BOM字符或HTML输出。
立即学习“PHP免费学习笔记(深入)”;
3、首次调用时,PHP生成唯一会话ID,并通过Cookie(默认名为PHPSESSID)发送至客户端。
二、存储与读取Session数据
Session数据以关联数组形式保存在$_SESSION超全局变量中,服务器端将其序列化后写入指定存储路径(如文件系统或Redis),客户端仅持有会话标识符。
1、使用$_SESSION['key'] = 'value';语法写入数据。
2、通过echo $_SESSION['key'];直接读取已设置的值。
3、修改值后无需额外保存指令,PHP在脚本结束时自动序列化并写入存储介质。
三、销毁Session数据
为保障安全性,用户登出或敏感操作完成后应清除会话内容,防止会话劫持或重放攻击。销毁分为清除数据和终止会话标识两个层面。
1、调用$_SESSION = [];清空当前会话数组内容。
2、执行session_unset();释放所有注册的会话变量。
3、调用session_destroy();删除服务器端对应的会话存储文件或记录。
4、通过setcookie('PHPSESSID', '', time() - 3600, '/');使客户端Cookie立即失效。
四、配置Session生命周期与安全性参数
PHP提供多项ini配置项控制Session行为,包括有效期、传输方式、Cookie属性等。这些设置直接影响会话的可靠性与抗攻击能力。
1、在脚本开头使用ini_set('session.gc_maxlifetime', 1800);设定服务端会话数据最大存活时间为1800秒。
2、调用session_set_cookie_params(['httponly' => true, 'secure' => true, 'samesite' => 'Strict']);增强Cookie安全属性。
3、设置session.cookie_httponly = 1和session.cookie_secure = 1防止JavaScript访问及非HTTPS传输。
五、使用自定义Session处理器
默认文件存储在高并发场景下易产生I/O瓶颈且难以扩展。通过实现SessionHandlerInterface接口,可将Session数据存入Redis、Memcached或数据库,提升性能与一致性。
1、编写类实现open、close、read、write、destroy、gc六个抽象方法。
2、实例化该类对象后,调用session_set_save_handler($handler, true);注册为当前会话处理器。
3、在session_start()前完成注册,确保后续所有Session操作均经由自定义逻辑处理。
六、处理Session跨域与子域名共享
当网站包含多个子域名(如shop.example.com与api.example.com)时,需统一会话作用域,否则用户在不同子域间跳转将被视为新会话。
1、在调用session_start()前,使用ini_set('session.cookie_domain', '.example.com');设置Cookie作用域为根域名。
2、确保所有子域名使用相同的session.name(默认PHPSESSID)和session.cookie_path(通常为'/')。
3、验证各子域响应头中的Set-Cookie字段是否包含Domain=.example.com及Path=/。
七、检测并避免Session固定攻击
攻击者可能诱使用户使用已知会话ID登录,从而在用户认证后接管其会话。PHP需在用户成功登录后强制更换会话ID,切断旧标识关联。
1、用户身份验证通过后,立即调用session_regenerate_id(true);生成新ID并删除旧会话存储。
2、确认session_id()返回值已变更,且$_SESSION中数据完整保留。
3、避免在登录前暴露会话ID,例如禁用URL传递(session.use_trans_sid = 0)。
