Сессии в PHP

Сеанс нам нужно начать, для этого существует функция session_start(). Эта функция стартует сеанс, или сессию, как угодно можно назвать это.

Функция session_start() желательно вызывать в самом начале страницы, но в моих примерах я этого не делаю.

Сессии — это группы переменных, которые хранятся на сервере, но относятся к одному уникальному посетителю. Повторю, это ключевой момент: сессии хранятся на сервере.

Для того, чтобы обеспечить взаимодействие каждого посетителя с его данными из его сессии используется файл cookie, команду создать который PHP даёт сам, вам об это беспокоится не нужно. Этот cookie имеет значение только для сервера и не может быть использован для получения данных о пользователе.

На сервере данные сессии хранятся в текстовом файле и они доступны в программе PHP в массиве $_SESSION. Чтобы сохранить переменную в сессии нужно присвоить ей значение в этом массиве.

Давайте наконец начнём использовать примеры. Всё очень просто.

<title>Сессии в PHP</title>
<?php
    session_start();
    $_SESSION['login'] = 'admin';
    echo 'Мы поместили в массив $_SESSION одну пару ключ => значение.';
?>

Теперь попробуем получить значение из массива $_SESSION в другом примере.

<title>Сессии в PHP</title>
<?php
    session_start();
    echo $_SESSION['login'];
?>

Обратите внимание, если во втором примере мы удалим функцию session_start() то у нас не будет доступа к данным массива $_SESSION.

После того, как сессия создана, вы автоматически получаете доступ к уникальному идентификатору сессии при помощи функции session_id(). Эта функция позволяет как задавать, так и получать значение идентификатора сессии.

<title>Сессии в PHP</title>
<?php
    session_start();
    echo session_id();
?>

Можете посмотреть в панели инструментов для разработчиков вашего браузера (в Chrome для этого нажмите Ctrl + Shift + I, потом Resources, и там найдёте cookie), этот домен положил вашему браузеру cookie с именем PHPSESSID и примерно таким значением: «7g5df9rkd1hhvr33lq1k6c72p7».

Именно по значению PHPSESSID сервер будет определять ваш браузер и работать с соответствующим набором переменных, которые будут доступны скрипту через массив $_SESSION, как уже писалось ранее.

Если функции session_id() позволяет получать значение идентификатора сессии, функция session_name() позволяет узнать имя сессии.

<title>Сессии в PHP</title>
<?php
    session_start();
    echo session_name().' = '.session_id();
?>

Теперь мы знаем больше про механизм работы сессий в PHP и нужно ещё раз вернуться к функции session_start(). Эта функция инициализирует механизм сессий для текущего пользователя. Как именно это происходит:

• Если пользователь запустил сайт впервые, то session_start() устанавливает cookie у клиента и создаёт временное хранилище на сервере, связанное с идентификатором пользователя.
• Определяет хранилище, связанное с переданным текущим идентификатором.
• Если в хранилище на сервере есть данные, они помещаются в массив $_SESSION.
• Если register_globals из файла php.ini равен On, то все элементы массива $_SESSION превращаются в глобальные переменные.

Сейчас мы рассмотрим пример, который позволит провести небольшие эксперименты с сессиями.

<?php
    session_start();
    if(  !isset(  $_SESSION['count']  )  )  $_SESSION['count']  =  0;
    $_SESSION['count']++;
?>
<title>Сессии в PHP</title>
<h1>Счётчик</h1>
<p>В текущей сессии вы открыли страницу <?=$_SESSION['count']?> раз.</p>
<p>Открыть пример в <a href="<?=$_SERVER['SCRIPT_NAME']?>">этой вкладке</a>.</p>

Вся работа сессий основана на массиве $_SESSION, это хорошо видно в данном примере.

Если закрыть окно браузера, то сессия прекратится, наш счётчик обнулится. Такое поведение сессий в PHP можно изменить, к этому вопросу мы вернёмся чуть дальше в статье.

Так как сессии часто используются для авторизации пользователей, то нужно иметь механизм «выхода» из системы.

Для того, чтобы завершить сессию нам нужно:

1. Очистить массив $_SESSION.
2. Удалить временное хранилище на сервере.
3. Удалить сессионный cookie.

Очистить массив $_SESSION можно при помощи функции session_unset().

Функция session_destroy() удаляет временное хранилище на сервере. Кстати, она больше ничего не делает.

Удалить сессионный cookie нужно при помощи функции setcookie(), которую мы изучили в уроке pабота с cookie в PHP.

Пример завершения сессии:

<?php
    session_start();
    session_unset();
    session_destroy();
?>
<title>Завершение сессии</title>
<p>Сессия завершена.</p>

Теперь можете провести эксперимент: запустить в одном окне пример со счётчиком, накрутить счётчик, а потом запусть пример с удалением сессии и снова обновить страницу со счётчиком.

Удаление файла cookies можно сделать так:

setcookie(session_name(), '', time() - 60*60*24*32, '/')

Функции session_name() и session_id() на практике используются редко, но я о них пишу, так как в статье нужно раскрыть сам механизм работы сессий в PHP.

При помощи этих функций можно задавать собственные имена и идентификаторы сессий, но делать это не рекомендуется. Если вы захотели задать их, то пропишите эти функции с аргументами перед функцией session_start(), как в примере ниже:

<?php
    session_name('MYSID');
    session_id('0000000001');
    session_start();
?>
<title>Сессии в PHP</title>
<?php
    echo session_name()  .  ' = '  .  session_id();
    session_unset();
    session_destroy();
?>

При использовании данного примера всем пользователям будет назначен один и тот же идентификатор сессии.

Тут подробней остановимся, если вы запустите пример из секции про функцию session_name() (вот ссылка) в разных браузерах (например в Chrome и в Internet Explorer), то в каждом браузере будет свой, уникальный идентификатор сессии. Браузеры хранят файлы cookies каждый в своей папке, поэтому функция session_start() даст каждому браузеру создать свой, уникальный идентификатор и, соответственно, для каждого браузера будет создано уникальное хранилище на сервере. Поэтому пример со счётчиком (этот) в каждом браузере будет работать независимо друг от друга.

Если задать одинаковый идентификатор сессии для всех пользователей, то они будут работать с одним хранилищем на сервере. Вот пример счётчика, который будет считать посещения с разных браузеров:

<?php
    session_name('MYSID');
    session_id('0000000001');
    session_start();
    if(  !isset(  $_SESSION['count']  )  )  $_SESSION['count']  =  0;
    $_SESSION['count']++;
    if(  $_SESSION['count']  >  100  )
    {
        session_unset();
        session_destroy();
    }
?>
<title>Сессии в PHP</title>
<h1>Счётчик №2</h1>
<p>Открыли страницу в разных браузерах <?=$_SESSION['count']?> раз.</p>
<p>Открыть пример в <a href="<?=$_SERVER['SCRIPT_NAME']?>">этой вкладке</a>.</p>

Если вы запустите этот пример, то не факт что вы увидите там единицу. Другие посетители могли уже изменить значения в хранилище сессий на сервере. Когда в этом случае сервер удаляет хранилище — я не знаю, поэтому при превышении счётчиком значения 100 буду завершать сессию.

По умолчанию, сессия «живёт» до тех пор, пока посетитель не закроет окно браузера. Это обусловлено тем, что функция session_start() ложит клиенту такой cookie.

Время жизни сессии можно изменить используя функцию session_set_cookie_params(), вот её синтаксис.

session_set_cookie_params (int lifetime [, string path [, string domain [, bool secure]]])

На практике достаточно использовать только первый параметр (lifetime), сюда записываете время в секундах, определяющее сколько сервер должен помнить состояние сессии после закрытия браузера.

Действие функции session_set_cookie_params() распространяется только на период работы скрипта.

Вот пример использования этой функции:

<?php
    session_set_cookie_params(60);
    session_start();
    if(  !isset(  $_SESSION['count']  )  )   $_SESSION['count']  =  0;
    $_SESSION['count']++;
?>
<title>Сессии в PHP</title>
<h1>Счётчик №3</h1>
<p>Значение счётчика: <?=$_SESSION['count']?>.</p>
<p>Открыть счётчик в <a href="<?=$_SERVER['SCRIPT_NAME']?>">этой вкладке</a>.</p>

Накрутите счётчик и закройте браузер, через 30 сукунд опять откройте этот пример. Ваша сессия сохранится.