关于PHP中浏览器禁止Cookie后,Session是否能继续使用
2015-10-10 00:00
951 查看
摘要: Cookie Session 关系
今天去面试,被问到浏览器禁止了Cookie后,Session还能继续使用吗?当时很自信的说当然不能用了,把之前了解到的信息负复述了一边,面试官很是无奈,很显然失败的面试,回来后找了度娘,果不其然,以后面试的每个问题都需要认真对待啊。
原文摘自:php一点通
关于PHP中浏览器禁止Cookie后,Session能使用吗?我们来做些测试,然后说明原理。
我建立两个文件session_test.php和session_a.php内容分别是:
运行session_test.php结果:
点击另一个页面,默认当然是可以获取的,但是当我禁止cookie后呢?
看看session_a.php结果:
PHP中的session在默认情况下是使用客户端的Cookie来保存session id的,所以当客户端的cookie出现问题的时候就会影响session了。但是Session并不完全依赖Cookie,它还可以通过URL Get传递session id的。这需要你将php.ini中session.use_trans_sid = 1,这表示允许SessionID通过URL明文传输,既然GET可以,那么POST传递session id我觉得也可以吧。
好,这样,把上面session_test.php和session_a.php改造下就可以使用sesson了:
如愿以偿:
最后说明:
php.ini 中 SESSION 的配置
session.use_only_cookies = 1; // 开启仅使用cookies存放会话id
session.use_trans_sid = 1; // 允许SessionID通过URL明文传输
在这种情况下虽然已经允许了SessionID通过URL明文传输,担是同时又开启了仅使用cookies存放会话SessionID,所以在URL中明文传输的PHPSESSIONID参数值是无效的,SESSION不能用。
php.ini 中 SESSION 的配置
session.use_trans_sid = 0; // 禁止SessionID通过URL方式明文传输
SESSION 不能用, 这是最这安全的做法,也是php.ini 的默认配置
今天去面试,被问到浏览器禁止了Cookie后,Session还能继续使用吗?当时很自信的说当然不能用了,把之前了解到的信息负复述了一边,面试官很是无奈,很显然失败的面试,回来后找了度娘,果不其然,以后面试的每个问题都需要认真对待啊。
原文摘自:php一点通
关于PHP中浏览器禁止Cookie后,Session能使用吗?我们来做些测试,然后说明原理。
我建立两个文件session_test.php和session_a.php内容分别是:
<?php session_start(); $_SESSION['url'] = 'http://www.phpddt.com'; echo '这个页面取到的session值:'.$_SESSION['url']; echo "<a href='session_a.php'>另一个页面</a>";
<?php session_start(); echo "看这里是否获取到session的值:".$_SESSION['url'];
运行session_test.php结果:
点击另一个页面,默认当然是可以获取的,但是当我禁止cookie后呢?
看看session_a.php结果:
PHP中的session在默认情况下是使用客户端的Cookie来保存session id的,所以当客户端的cookie出现问题的时候就会影响session了。但是Session并不完全依赖Cookie,它还可以通过URL Get传递session id的。这需要你将php.ini中session.use_trans_sid = 1,这表示允许SessionID通过URL明文传输,既然GET可以,那么POST传递session id我觉得也可以吧。
好,这样,把上面session_test.php和session_a.php改造下就可以使用sesson了:
<?php session_start(); $_SESSION['url'] = 'http://my.oschina.net/u/585327/blog/515341'; echo '这个页面取到的session值:'.$_SESSION['url']; ?> <a href="session_a.php?<?php print session_name() ?>=<?php print session_id() ?>">另一个页面</a>
<?php session_id($_GET['PHPSESSID']); session_start(); echo "看这里是否获取到session的值:".$_SESSION['url'];
如愿以偿:
最后说明:
php.ini 中 SESSION 的配置
session.use_only_cookies = 1; // 开启仅使用cookies存放会话id
session.use_trans_sid = 1; // 允许SessionID通过URL明文传输
在这种情况下虽然已经允许了SessionID通过URL明文传输,担是同时又开启了仅使用cookies存放会话SessionID,所以在URL中明文传输的PHPSESSIONID参数值是无效的,SESSION不能用。
php.ini 中 SESSION 的配置
session.use_trans_sid = 0; // 禁止SessionID通过URL方式明文传输
SESSION 不能用, 这是最这安全的做法,也是php.ini 的默认配置
相关文章推荐
- 记一次phpMyAdminUnexpected character in input: '\' (ASCII=92) state=1 in 错误的解决方案
- PHP MySQL读写数据库乱码
- 获取ServerSocket信息的方法及FTP原理
- FTP文件传输协议两种方式的工作原理
- ContentProvider
- ftp与sftp连接实例
- iOS程序猿如何快速掌握 PHP,化身"全栈攻城狮"?
- iOS程序猿如何快速掌握 PHP,化身"全栈攻城狮"?
- [转]非常实用的15款开源PHP类库
- HeadFirst PHP&MySQL 重点知识点记录(一)
- Scalaz(8)- typeclass:Monoid and Foldable
- PHP第一季视频教程.李炎恢.学习笔记(二)(第2章 基本语法(1))
- Scalaz(8)- typeclass:Monoid and Foldable
- php随机生成验证码
- 安装weiphp遇到的问题
- Ubuntu 安装tftp服务器
- php+phpStorm+xdebug配置方法
- PHP程序‘猿’必备的七种武器
- FoxitPhantomPDF 7.2.1.730 破解版,无视密码破解保护,OCR反输出DOC保护
- [php] try - catch exceptiong handler