当出现问题时,我正在学习使用PHP会话。
我正在使用一些空白页面来测试PHP会话的功能,我已经在具有特定ID的页面上启动了一个会话(简单的东西)。
在父目录中,有我的学校项目, DID NOT 尚未实施会话。只有一些基本的PHP来编写/读取.txt文件。
当我打开项目页面时,我发现CSS已经消失了。很奇怪,我想,因为我从前一天起就没有修改过项目的文件。我在Chrome中打开了检查员,并注意到在我的<style> href属性中,没有style.css而是style.css; PHPSESSID这很奇怪,因为我没有开始任何会话此页面链接到的任何页面。
它还覆盖了我用JavaScript创建的CSS cookie(就像css_page='style.css'之类的东西)。它还将我的CSS插入到项目的所有页面上(CSS样式没有加载)。
我的问题是,当在页面中没有调用session_start()函数时,为什么PHPSESSID变量最终位于<?php和?>之间?然后,我如何防止它覆盖网站上的所有 cookie?
编辑:作为Martin的请求,这里有一些代码:
我开始会话的页面只是为了做一些测试:
<?php
session_id("you");
session_start();
?>
<html>
<head>
<title>Test</title>
</head>
<body>
<?php
echo "Bonjour<br/>";
$_SESSION["pre"] = "firstName";
$_SESSION["nom"] = "lastName";
$_SESSION["idd"] = "identifiernumber";
echo $_SESSION["pre"]."<br/>";
echo $_SESSION["nom"]."<br/>";
echo $_SESSION["idd"]."<br/>";
print_r($_SESSION);
?>
</body>
</html>
我注意到borked CSS的页面:
<html>
<head>
<meta charset="utf-8">
<link id="css" rel="stylesheet" type="text/css" href="style.css">
<script src="fonctions.js"></script>
</head>
<body onload="createcookie()">
<!-- Some text in divs, nothing in php -->
</body>
</html>
fonctions.js文件:
function changeCSS(){
var sheet = document.getElementById('css').getAttribute('href');
if (sheet == "style.css") {document.getElementById('css').setAttribute('href', 'style2.css');}
else {document.getElementById('css').setAttribute('href', 'style.css');}
}
function chooseCSS(style) {
document.getElementById('css').setAttribute('href', style);
}
function checkCookie(coo) {
var cuki = document.cookie;
var ind = cuki.indexOf(coo);
if (ind != -1) {return true;}
else {return false;}
}
function createcookie() {
if (!checkCookie('css')) {
foo = document.getElementById('css').getAttribute('href');
if (foo == "") {foo = "style.css"};
document.cookie = "css=" + foo;
}
var x = document.cookie.split("=");
chooseCSS(x[1]);
}
注意:在另一个测试php页面中,我使用了以下函数(按此顺序):
<?php
session_start();
$_SESSION = array();
session_destroy();
?>
我想完全关闭/销毁会话,因为我至少需要两个会话和一个“访客”模式(没有打开会话)。
答案 0 :(得分:0)
关于PHP会话的一些一般性说明:
不要自己设置会话ID值,但允许PHP自动生成它们。这样更安全,减少Session Hyjacking的可能性。
不应在URL行中使用会话,而是在最终用户之下进行更多的转移(而且因此更容易操作)。
在php.ini文件中设置会话参数,或在页面顶部设置ini_set(通常带有包含)。
php.ini示例:
session.savepath=/home/directory/custom_session_folder
session.name=a_custom_session_name
session.cookie_httponly=1 /* So not passed in URL */
session.cookie_secure=0 /* set to 1 for HTTPS cookies */
session.entropy_file=/dev/urandom /* better more secure session id generation */
session.hash_function=whirlpool /* same, better way of generating session hashes */
session.use_trans_sid=0 /* turn off transferable id's */
PHP页面示例(顶部):
ini_set('display_errors', 1);
ini_set('display_startup_errors', 1);
error_reporting(E_ALL);
如果您希望为网站上的不同用户或不同活动设置不同的会话,则需要设置不同的 session names 会话ID。
这是一个更好的方法,为每个人,那些&#34;登录&#34;而那些不是,只是在你的会话数据中保存一个标志来定义哪个是哪个,这将在更加发达的网站上回避许多潜在的一致性问题。
示例:
$_SESSION['loggedin'] = true / false;