2. 程式人生 > >Cookie禁用了,Session還能用嗎?

Cookie禁用了,Session還能用嗎?

阿新 發佈:2019-02-08
是不是Cookie讓禁用了,Session就一定不能用了呢?

1. ASP

       在ASP中,Session必須倚賴Cookie才可用,Session是儲存在伺服器端的,而Cookie是儲存在客戶端的,相對而言,Session的安全性和可靠程度都比Cookie高。

2. PHP

       在PHP中,通過相關的配置,可以讓Session不依賴Cookie而存在。這是因為:

       Session,儲存於伺服器端(預設以檔案方式儲存Session),根據客戶端提供的Session ID來得到使用者的檔案,取得變數的值,Session ID可以使用客戶端的Cookie或者Http1.1協議的Query_String(就是訪問的URL的“?”後面的部分)來傳送給伺服器,然後伺服器讀取Session的目錄……。也就是說,Session ID是取得儲存在服務上的Session變數的身份證。當代碼session_start();執行的時候,就在伺服器上產生了一個Session檔案,隨之也產生了與之唯一對應的一個Session ID,定義Session變數以一定形式儲存在剛才產生的Session檔案中。通過Session ID,可以取出定義的變數。跨頁後,為了使用Session,你必須又執行session_start();將又會產生一個Session檔案,與之對應產生相應的Session ID,用這個session id是取不出前面提到的第一個Session檔案中的變數的,因為這個Session ID不是開啟它的“鑰匙”。如果在session_start();之前加程式碼session_id($session id);將不產生新的Session檔案,直接讀取與這個id對應的Session檔案。


       PHP中的Session在預設情況下是使用客戶端的Cookie來儲存Session ID的,所以當客戶端的cookie出現問題的時候就會影響Session了。必須注意的是:Session不一定必須依賴Cookie,這也是Session相比Cookie的高明之處。當客戶端的Cookie被禁用或出現問題時,PHP會自動把Session ID附著在URL中,這樣再通過Session ID就能跨頁使用Session變量了。但這種附著也是有一定條件的,即“php.ini中的session.use_trans_sid = 1“,或者編譯時開啟打開了“--enable-trans-sid”選項。


       用過論壇的朋友都知道,在進入論壇的時候,往往會提示你檢查Cookie是否開啟,這是因為大多數論壇都是基於Cookie的,論壇用它來儲存使用者名稱、密碼等使用者資訊,方便使用。而且很多朋友都認為Cookie不安全(其實不是這樣),往往禁用它。其實在PHP程式中,我們完全可以用Session來代替Cookie,它可以不依賴於客戶端是否開啟Cookie。

       所以,我們可以拋開Cookie使用Session,即假定使用者關閉Cookie的情況下使用Session,其實現途徑有以下幾種:

       1. 設定php.ini配置檔案中的“session.use_trans_sid = 1”,或者編譯時開啟打開了“--enable-trans-sid”選項,讓PHP自動跨頁傳遞Session ID。

       2. 手動通過URL傳值、隱藏表單傳遞Session ID。
       3. 用檔案、資料庫等形式儲存Session ID,在跨頁過程中手動呼叫。

途徑1舉例說明:
       -------------------------------------------------------------------------------------------------------------------
       <?php
           // s1.php
           session_start();
           $_SESSION[’var1’]="中華人民共和國";
           $url="<a href="http://laiguowei2004.blog.163.com/blog/.""s2.php">下一頁</a>";
           echo $url;
       ?>
       -------------------------------------------------------------------------------------------------------------------

       -------------------------------------------------------------------------------------------------------------------
       <?php
           // s2.php
           session_start();
           echo "傳遞的session變數var1的值為:".$_SESSION[’var1’];
       ?>
       -------------------------------------------------------------------------------------------------------------------

       執行以上程式碼,在客戶端cookie正常的情況下,應該可以在得到結果"中華人民共和國"。

       現在你手動關閉客戶端的cookie,再執行,可能得不到結果了吧。如果得不到結果,再設定php.ini檔案中的”session.use_trans_sid = 1“,或者編譯時開啟打開了”--enable-trans-sid選項”,又得到結果“中華人民共和國”。 

途徑2舉例說明:
       -------------------------------------------------------------------------------------------------------------------
       <?php
           // s1.php
           session_start();
           $_SESSION[’var1’]="中華人民共和國";
           $sn = session_id();
           $url="<a href="http://laiguowei2004.blog.163.com/blog/.""s2.php?s=".$sn."">下一頁</a>";
           echo $url;
       ?>
       -------------------------------------------------------------------------------------------------------------------

       -------------------------------------------------------------------------------------------------------------------
       <?php
           session_id($_GET[’s’]);
           session_start();
           echo "傳遞的session變數var1的值為:".$_SESSION[’var1’];
       ?> 
       -------------------------------------------------------------------------------------------------------------------

途徑3舉例說明:
       -------------------------------------------------------------------------------------------------------------------
       login.html
       <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> 
       <html> 
       <head> 
       <title>Login</title> 
       <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> 
       </head> 
       <body> 
       請登入: 
       <form name="login" method="post" action="mylogin1.php"> 
       使用者名稱:<input type="text" name="name"><br> 
       口 令:<input type="password" name="pass"><br> 
       <input type="submit" value="登入"> 
       </form> 
       </body> 
       </html> 
       -------------------------------------------------------------------------------------------------------------------

       -------------------------------------------------------------------------------------------------------------------
       mylogin1.php
       <?php
       $name=$_POST[’name’];
       $pass=$_POST[’pass’];
       if(!$name || !$pass) {
           echo "使用者名稱或密碼為空,請<a href="http://laiguowei2004.blog.163.com/blog/login.html">重新登入</a>";
           die();
       }
       if (!($name=="laigw" && $pass=="1234") {
           echo "使用者名稱或密碼不正確,請<a href="http://laiguowei2004.blog.163.com/blog/login.html">重新登入</a>";
           die();
       }
       //註冊使用者
       ob_start();
       session_start();
       $_SESSION[’user’]= $name;
       $psid=session_id();
       $fp=fopen("D:\tmp\phpsid.txt","w+");
       fwrite($fp,$psid);
       fclose($fp);
       //身份驗證成功,進行相關操作
       echo "已登入<br>";
       echo "<a href="http://laiguowei2004.blog.163.com/blog/mylogin2.php">下一頁</a>";
       ?>
       -------------------------------------------------------------------------------------------------------------------

       -------------------------------------------------------------------------------------------------------------------
       mylogin2.php
       <?php
       $fp=fopen("D:\tmp\phpsid.txt","r");
       $sid=fread($fp,1024);
       fclose($fp);
       session_id($sid);
       session_start();
       if(isset($_SESSION[’user’]) && $_SESSION[’user’]="laigw" {
           echo "已登入!";
       } else {
           //成功登入進行相關操作
           echo "未登入,無權訪問";
           echo "請<a href="http://laiguowei2004.blog.163.com/blog/login.html">登入</a>後瀏覽";
           die();
       }
       ?>
       -------------------------------------------------------------------------------------------------------------------

       同樣請關閉Cookie測試,使用者名稱:laigw;密碼:1234;這是通過檔案儲存Session ID的,檔案是:D:/tmp/phpsid.txt,請根據自己的系統決定檔名或路徑。 

       總結一下,上面的方法有一個共同點,就是在前一頁取得Session ID,然後想辦法傳遞到下一頁,在下一頁的session_start();程式碼之前加程式碼Session ID(傳過來的Session ID)。

相關推薦

Cookie禁用Session?session_id 的由來

途徑1舉例說明:       -------------------------------------------------------------------------------------------------------------------       <?php          

Cookie禁用Session

是不是Cookie讓禁用了,Session就一定不能用了呢?1. ASP       在ASP中,Session必須倚賴Cookie才可用,Session是儲存在伺服器端的,而Cookie是儲存在客戶端的,相對而言,Session的安全性和可靠程度都比Cookie高。2. PHP       在PHP中,

PHP客戶端禁用cookie之後session

答案是非常明確的可以的。 在伺服器端獲取Session資料,必須知道SessionID,那麼這個ID又是需要cookie帶回來,禁用也就說明帶不回來,就想辦法給帶回來就是了。 以下是解決如何在這種情況下也使用session: 1、再設定php.ini檔案中的”session.use_

吊車也語音操縱挖掘機會遠

中新網3月27日電 據日本媒體27日報道,日本一家建築公司開發出通過語音操縱工程吊車的技術,可通過語音操縱吊車。普通吊車至少需要兩人合作操縱。一人為操縱室內的操縱員(吊車司機),另一人負責往掛鉤上掛物品,並且發出指令、指揮操縱員。但在使用這項新開發出來的聲控系統時,通過與可

python高階語法-python3%和format格式化輸出

在之前的一段時間python2.x的時代,字串的格式化輸出有兩種方式 第一種 %來格式化輸出 str1 = "i am %s" % "Zc" print(str1) 第二種 利用format來格式化定義 str2 = "i am {}".format("Zc"

銀行紛紛斷開與支付機構直連那支付寶和微信支付

近日,包括中國銀行、交通銀行、中信銀行、光大銀行等在內多家銀行宣佈,將關閉原直連業務模式下與持牌第三方支付機構的合作通道,範圍包括協議支付、閘道器支付、付款業務及通過支付機構客戶備付金賬戶發生的代收付業務。有些人或許會擔心,在銀行關閉與支付機構的合作通道後,對我們使用微信、支付寶等三方支付平

手機沒網支付這是什麼原理?

現在生活已經離不開微信/支付寶電子支付,平常出去吃飯、購物只要帶個手機,就可以解決一切,以致於現在已經好久沒摸過真

switch-case語句裡面有return break起作用?該如何解決

switch-case語句裡面有return了 ,break還起作用嗎?switch-case語句裡面有return了   ,break還起作用嗎?     比如:                       switch(ID)                      

【LEDE】x86軟路由之路-10-都DockerLXC

opkg install gnupg-utils opkg install gnupg opkg install kmod-veth opkg install lscpu opkg find lxc* | cut -d ' ' -f 1 | xargs opkg in

Python爬一半的資料出BUG等等!這一半資料

相信你一定有過這樣的經歷:大晚上好不容易寫好一個爬蟲,添加了種種可能出現的異常處理,測試了很多遍都沒有問題,點選了 RUN 開始正式執行 。 第二天早上一睜眼就滿心歡喜地衝到電腦前,結果發現爬蟲半夜斷了,你氣得想要砸電腦,然後你看了一下 MongoDB 中爬了一半的資料,在想是刪掉重新爬,還是保留下來接著爬

Python爬一半的數據出BUG等等!這一半數據

caption 分享 怎麽辦 斷點續傳 怎麽 response content .get upsert 相信你一定有過這樣的經歷:大晚上好不容易寫好一個爬蟲,添加了種種可能出現的異常處理,測試了很多遍都沒有問題,點擊了 RUN 開始正式運行 。 第二天早上一睜眼就滿心歡喜地

又被BAT“盯上”內容創業者的日子好過

sim -s ack 出了 想要 多平臺 意義 觀察 萬年 1月18日舉行的百家號年度創作者盛典上,最令內容創業者激動地,或許不是百度推出的智能創作黑科技“創作大腦”、也不是“年度創作者”、“千尋獎”等大獎。而是針對優質原創視頻作者推出的“百萬年薪”計劃。百萬年薪?是內容分

這個分身版微信刷步

最近很多使用者把第三方修改的微信分身版各種瘋傳,不少人都安裝了不同功能的微信刷步分身版,不管是為了刷微信運動步數,一鍵轉發,一鍵評論還是帶有其它功能的微信分身版。 很顯然很多人安裝了這些分身版卻不知道其中可能存在的風險,這些微信分身版無非就是通過load command動態庫注入hook函式

https是如何加密的 (知道原理之後希望自己程式碼實現一下還有用於對個人資訊和公鑰進行加密的雜湊演算法有時間也去查一下)

由於http協議是明文傳輸資料,資料的安全性沒有保障。為了改進這種明文傳輸協議,https誕生了。   https是在應用層和傳輸層之間,增加了一層ssl加密。對於加密,請往下看:   1、對稱加密   每次在傳送資料之前,伺服器先生成一把金鑰,

天的“亞馬遜”堅持多久?

隨著亞馬遜Q4旺季的到來, 看似是一場跨境電商的狂歡, 亞馬遜賣家的饕餮盛宴。 其實就是一場你和亞馬遜之間的豪賭, 壓上的往往是你的身家性命。 1、獲取收益後加大備貨量 在賣家經歷了2015、16年備貨海外倉、FBA而獲得的高收益後,2017年不

Django本身提供runserver為什麼不來部署?(runserver與uWSGI的區別)

1.runserver方法是除錯 Django 時經常用到的執行方式,它使用Django自帶的 WSGI Server 執行,主要在測試和開發中使用,並且 runserver 開啟的方式也是單程序 。 2.uWSGI是一個Web伺服器,它實現了WSGI協議、uwsgi、http 等協議。注意

Django 本身提供 runserver為什麼不來部署?

runserver 方法是除錯 Django 時經常用到的執行方式,它使用 Django 自帶的 WSGI Server 執行,主要在測試和開發中使用,並且 runserver 開啟的方式也是單程序 。  uWSGI 是一個 Web 伺服器,它實現了 WSGI 協議、uwsgi、h

程式設計師只能做到35歲年級大以後會被淘汰我現在已經30歲

工程師像醫生一樣,屬於年齡越大經驗越豐富,年齡越大越能解決複雜的問題。由於歐美髮展計算機比中國早20年左右,現在歐美50歲以上的程式設計師有很多,這都非常正常。也有很多程式設計師做了轉到產品經理、架構師、CTO技術總監、技術部經理、副總裁等等,這些職位需要有程式設計師的技術功底和豐富的專案管

智慧兔CDF——moreToken多幣種錢包多久

1:moretoken錢包收益 moretoken錢包靜態收益: 存入ETH\BTC\BCH\300美金或以上啟動智慧兔搬磚,月收益8-20% 大於300$可持幣收益 2:moretoken錢包動態收益: 直推一人拿一代,二人二代,十人十代(有效使用者,有效使用

為什麼STM32的LCD和SRAM共用FSMC他們不影響的正常工作

         之前使用STM32的FSMC時,還沒有注意到LCD和SRAM都共用了STM32的FSMC,那為什麼他們還能同時不影響的執行呢?