php會話驗證（php實現驗證碼）

本文目錄一覽：

• 1、php 持續驗證
• 2、PHP如圖，我想在當點擊這個超鏈接的時候先驗證是否登錄，如果沒有登錄的話就彈出會話框。
• 3、php會話標識未更新?我在登陸驗證之前清空了session,驗證通過又開啟session,可還是會話標識未更新
• 4、php如何將驗證碼寫入session
• 5、PHP會話驗證問題，怎麼解決
• 6、php驗證碼是保存在數據庫中還是直接在session中進行判斷的？

php 持續驗證

?php

session_start();

if($_SESSION[‘pass’] ==””){

header(“refresh:0;url=login.php”);

exit;

}

?

一般是通過判斷session或者cookie

然後用php或js跳轉就行

PHP如圖，我想在當點擊這個超鏈接的時候先驗證是否登錄，如果沒有登錄的話就彈出會話框。

用session記錄登錄狀態的話要用ajax，先查一下登錄狀態，用的是cookie的話，直接用js寫一個判斷代碼

php會話標識未更新?我在登陸驗證之前清空了session,驗證通過又開啟session,可還是會話標識未更新

你是清空session還是銷毀。如果只是清空

用session_destory()銷毀試試

php如何將驗證碼寫入session

session

可以翻譯成會話

瀏覽器跟php服務器連接成功後就是一個會話，再此會話中的session只對此瀏覽器進程有效

對其他均無效。

舉個例子

A

刷新了一下驗證碼

此時$_SESSION[“abc”]

=

1234

B

在同一時間也刷新了驗證碼，此時B的$_SESSION[“abc”]

=

4567

這兩個session是同時存在的，但是佔用的是不同的兩塊內存空間

但是他們互相獨立，沒有任何關係。

只要瀏覽器關閉或者長時間沒有相應，對應的session就會自動釋放

刷新時重新生成的驗證碼會覆蓋到之前的，不會一直增加的

PHP會話驗證問題，怎麼解決

會話控制的思想就是指能夠在網站中根據一個會話跟蹤用戶。這裡整理了詳細的代碼,有需要的小夥伴可以參考下。

概述

http 協議是無狀態的，對於每個請求，服務端無法區分用戶。PHP 會話控制就是給了用戶一把鑰匙(一個加密session字符串)，同時這也是用戶身份的一個證明，服務端存放了這把鑰匙能打開的箱子(數據庫，內存數據庫或者使用文件做的)，箱子裡面裝的就是用戶的各個變量信息。

傳統的php session 使用

?php

//page1.php 啟動一個會話並註冊一個變量

session_start();

$_SESSION[‘user_var’] = “hello,codekissyoung!”;

//這裡的可以將$_SESSION理解為用戶的箱子，實際的實現是php在服務器端生成的小文件

?

?php

//page2.php

session_start();

echo $_SESSION[‘user_var’];//通過鑰匙訪問自己的箱子內的變量

$_SESSION[‘user_var’] = “bey,codekissyoung!”;

?

?php

//page3.php 銷毀鑰匙,一般在用戶註銷時，訪問page3.php文件

session_start();

session_destroy();

?

提一個問題，鑰匙呢？沒看見給用戶鑰匙的操作啊？ 

這個操作是php背後幫我們做了的，自從你訪問page1.php 程序運行，session_start();這句時，php 會根據此刻的一些條件(用戶ip,瀏覽器號，時間等)生成一個PHPSESSID變量，http response 回客戶端後，這個PHPSESSID就已經存在你的瀏覽器cookie里了，每次你再次訪問這個域名時，該PHPSESSID都會發送到服務端。這個PHPSESSID 就是我這裡說的用戶鑰匙了。

再一個問題，這個PHPSESSID的安全性，它是否容易被竊取，是否容易被偽造，是否容易被篡改？ 

使用 Https 可以防止被篡改。不使用PHPSESSID,而是自己生成一把秘鑰給用戶可以防止被偽造。至於是否容易被竊取，還真沒怎麼研究過。比如如果你電腦連着網，黑客入侵你電腦。

將生成的秘鑰存入瀏覽器cookie中

設置cookie

setCookie(‘key’,’value’,time()+3600);

刪除cookie

setCookie(‘key’,”,time()-1);

實現單點登錄:session共享

單點登錄：多個子系統之間共用一套用戶驗證體系，在其中一處登錄，就可以訪問所有子系統。 

試想這麼一種情景：假設服務器A與B的php環境一致。用戶在 服務器A 上拿到了自己的鑰匙，然後他拿着這把鑰匙去訪問服務器B,請問服務器B認識么？ 

很顯然不能，服務器A生成的鑰匙，服務器並不認識。 

解決辦法：用戶無論訪問A或B,生成的鑰匙我都存儲在C（同一個數據庫，或緩存系統）中，用戶再次訪問A或B時，A和B都去問下C:這個用戶的鑰匙對么？對的話，用戶就可以使用自己存在A或者B那裡的箱子了。

?php

session_regenerate_id();//重置　session 　字符

$session_info=array(‘uid’=$uid,’session’=session_encrypt(session_id().time()));

//下一步將，$session_info 存到　C 中

?

下面是php通過會話控制實現身份驗證實例

身份驗證應用程序主體：authmain.PHP

?php

//開啟一個會話

session_start();

if((!isset($userid))||(!isset($password))) {

 $userid=$_POST[‘userid’];

 $password=$_POST[‘password’];

//連接數據庫

$db_conn=new mysqli(“localhost”, “root”, “”,”auth”);

if(mysqli_connect_errno()){

 echo ‘連接數據庫失敗：’.mysqli_connect_error();

 exit();

}

//執行SQL查詢語句

$query=”SELECT * FROM authorized_users WHERE name='”.$userid.”‘ and password=sha1(‘”.$password.”‘)”;

$result=$db_conn-query($query);

if($result-num_rows0){

 //註冊一個會話變量

 $_SESSION[‘valid_user’]=$userid;

}

//斷開數據庫連接

$db_conn-close();

}

?

!DOCTYPE html

html

head

 meta charset=”UTF-8″

 title身份驗證/title

/head

body

h1主頁/h1

?php

//判斷用戶是否已經登錄

if(isset($_SESSION[‘valid_user’])){

 echo $_SESSION[‘valid_user’].’,您好，你已經登錄’;

 echo ‘a href=”logout.php”退出登錄/abr/’;

}else{

 if(isset($userid)){

   echo ‘您沒有登錄成功’;

 }else{

   echo ‘您還沒有登錄br/’;

 }

 ?

 form method=”post” action=”authmain.php”

   p用戶名：input type=”text” name=”userid”/p

   p密碼：input type=”password” name=”password”/p

   pinput type=”submit” name=”submit” value=”登錄”/p

 /form

?php

}

?

br/

a href=”members_only.php”登錄進入/a

/body

/html

網站的有效用戶檢查：members_only.php

!DOCTYPE html

html

head

 meta charset=”UTF-8″

 title身份驗證/title

/head

body

?php

//啟用會話

session_start();

echo ‘h1會員有效/h1’;

if(isset($_SESSION[‘valid_user’])){

 echo “p”.$_SESSION[‘valid_user’].”,您好，您已經登錄成功/p”;

 echo ‘p會員可享受折扣優惠/p’;

}else{

 echo ‘p您還沒有登錄成功/p’;

 echo ‘p只有登錄成功才能查看此頁/p’;

}

echo ‘a href=”authmain.php”返回主頁/a’;

?

/body

/html

註銷會話變量並銷毀會話：logout.php

?php

//啟用會話

session_start();

$olduser=$_SESSION[‘valid_user’];

//註銷會話變量

unset($_SESSION[‘valid_user’]);

//銷毀會話

session_destroy();

?

!DOCTYPE html

html

head

 meta charset=”UTF-8″

 title退出登錄/title

/head

body

h1您退出登錄了！/h1

?php

if(!empty($olduser)){

 echo ‘退出登錄了br/’;

}else{

 echo ‘您沒有登錄過，所以當然也不存在退出登錄br/’;

}

?

a href=”authmain.php”返回主頁/a

/body

/html

php驗證碼是保存在數據庫中還是直接在session中進行判斷的？

首先生成一個隨機的字符串包括 字母 數字 或漢字

然後用php中生成圖片的函數把這個字符串生成圖片並在頁面展示出來

然後session存儲這個字符串，沒必要存到數據庫中，因為就用那麼一次

然後用戶在前台輸入後 與session進行比較驗證