本文介绍了PHP会话控制，主要阐述以下几点内容： • 会话控制的产生背景/概念 • cookie的维护与生命周期(有效时间) • session的维护与生命周期(回收机制) • cookie与session之间的区别与联系 • 问题1：禁用cookie后session为什么会失效？ • 问题2：IE浏览器下丢失session，每次刷新页面，都会生成新的sessionID（Firefox浏览器正常） • session、cookie简单实例 [b]理解会话控制的概念[/b] 理解一个概念就需要理解他的背景及产生的原因，这里引入WEB环境及其HTTP协议。会话控制产生的背景： 阅读过HTTP协议相关资料的同学都会知道HTTP协议是WEB服务器与客户端(浏览器)相互通信的协议，它是一种无状态协议，所谓无状态，指的是不会维护http请求数据，http请求是独立的，不持久的。也就是说HTTP协议没有一个内建的机制来维护两个事务之间的状态或者说是关系吧。当一个用户在请求一个页面后再去请求另外一个页面时，HTTP将无法告诉我们这两个请求是否来自同一个用户。 由此我们就会觉得很奇怪了，平时我们在论坛逛帖子或电商网站购物时，只要我们在这个站点内，不论我们怎么跳转，从一个页面跑到另一个页面，网站总会记得我是谁，比如告诉你购买了哪些东西。这是怎么做到的呢，估计大家猜到了，这就是运用了HTTP会话控制。在网站中跟踪一个变量，通过对变量的跟踪，使多个请求事物之间建立联系，根据授权和用户身份显示不同的内容、不同页面。 [b]PHP Session会话控制：[/b] PHP的session会话是通过唯一的会话ID来驱动的，会话ID是一个加密的随机数字，由PHP生成，在会话的生命周期中都会保存在客户端。我们知道客户端（也就是浏览器）保存数据的地方只有cookie，所以PHP的会话ID一般保存在用户机器的cookie中。了解cookie后我们知道，浏览器是可以禁用cookie的，这样会话就会失效。所以PHP会话控制还有一种模式，就是在URL中传递会话ID。如果在浏览网站时我们稍加留心的话，有些URL中有一串看起来像随机数字的字符串，那么其实很有可能就是URL形式的会话控制。 讲到这里，有些人可能会有疑问了，客户端只是保存一个会话ID，那么会话控制中保存的会话变量比如你购物时买的物品列表等，它们是存放在哪个地方的呢？很显然，会话变量是在服务器端使用的，那么这些会话变量必定存放在服务器端。默认情况下，会话变量保存在服务器的普通文件中（也可以自己配置使用数据库来保存，可以Google一下），会话ID的作用就像是一把钥匙，在服务器端保存会话的文件中找到该会话ID对应的会话变量，比如购买物品的列表。 那么会话控制的整个过程可能就像这个样子，用户登录或者第一次浏览某个站点的页面时，该站点会生成一个PHP的会话ID并通过cookie发送到客户端（浏览器）。当用户点击该站点的另一个页面时，浏览器开始连接这个URL。在连接之前，浏览器会先搜索本地保存的cookie，如果在cookie中有任何与正在连接的URL相关的cookie，就将它提交到服务器。而刚好在登陆或第一次连接时，已经产生了一个与该网站URL相关的cookie（保存的会话ID），所以当用户再次连接这个站点时，站点就可以通过这个会话ID识别出用户，从服务器的会话文件中取出与这个会话ID相关的会话变量，从而保持事务之间的连续。 接下来我们了解下两个重要的概念：cookie和session [b]关于cookie的维护与生命周期[/b] cookie是在服务器端被创建并写回到客户端浏览器，浏览器接到响应头中关于写cookie的指令则在本地临时文件夹中。 创建了一个cookie文件，其中保存了你的cookie内容，cookie内容的存储是键值对的方式，键和值都只能是字符串。例如： 文件：Cookie:administrator@localhost/ 内容格式：voteID100101localhost/15361167667230343893360385046430343691* cookie的创建： 运行上面的代码，在客户端cookie正常情况下，我么可以在demo2.php中打印出$_SESSION['blog']的值为：http://blog.jb51.net。但是，现在如果你手动禁用客户端的cookie，再运行该实例，可能就得不到结果了。因为默认的客户端sessionid保存方式在跨页后，读取不到前一页的sessionid，当执行session_start();将又会产生一个session文件，与之对应产生相应的session id，用这个session id是取不出前面提到的第一个session文件中的变量的，因为这个session id不是打开它的“钥匙”。如果在session_start();之前加代码session_id($sessionid);将不产生新的session文件，直接读取与这个id对应的session文件。简单的说就是在前一页取得session id，然后想办法传递到下一页，在下一页的session_start();代码之前加代码session_id(传过来的sessionid); 例如： 除此之外，我们还可以将客户端PHPSESID存放到文件中，如：

[url=demo2.php] $fp=fopen("D:\tmp\websid.txt","r"); $sid=fread($fp,1024); fclose($fp); session_id($sid); session_start(); print_r($_SESSION);

当客户端禁用cookie，可以通过以下几种方式改变session对客户端cookie的依赖，使session抛开客户端cookie： 1、设置php.ini中的session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项，让PHP自动跨页传递session id。当session.use_trans_sid为有效时，ession.use_only_cookies一定要设置为无效0。 2、手动通过URL传值、隐藏表单传递session id。 3、用文件、数据库等形式保存session_id,在跨页过程中手动调用。 PHP也提供一个函数： 说明：此函数给URL重写机制添加名/值对。 这种名值对将被添加到URL（以GET参数的形式）和表单（以input隐藏域的形式），当透明URL重写用 session.use_trans_sid 开启时同样可以添加到session ID。 要注意，绝对URL(http://jb51.net/..)不能被重写。此函数的行为由url_rewriter.tags php.ini 参数控制。

[url=demo2.php] ?>

这样sessionID会跟在URL后面而且from中会出现sessionID的hidden值。 改变session客户端ID保存方式： session.use_cookies //控制客户端保存SessionID时使用哪一种方式，当它为“1”时，就说明启动了session cookie（初始值为1） 可以使用上面我们提到的函数来查询得到目前的session id：echo $_COOKIE["PHPSESSID"]; 但是，如果client的浏览器不支持cookie的话，即使session.use_cookies这个参数的值等于“1”，用上述的查询也只会得到null。 php.ini中两个和该选项相关的配置参数： 注意：如果客户的浏览器是支持cookie的，强烈推荐“session.use_only_cookies = 1”，当session.use_only_cookies为有效时，即使想通过URL来传递session id也会被认为无效，这样可以减少通过sessionid被攻击的可能性。上面两个配置，在php代码页面中设置方式：

[url=login.php?out=out] }   ?> <form action="login.php" method="post"> 用户ID：<input type="text" name="name" /> 密码：<input type="password" name="password" /> <br /> <input type="submit" name="submit"> </form>

使用cookie方式的登录验证实例代码： 使用session随机码验证投票合法性：