La gestion des sessions avec PHP est un moyen de sauver des informations
entre deux accès. Cela permet notamment de construire des
applications personnalisées, et d'accroître l'attrait de votre site.
Si vous connaissez déjà la gestion des sessions avec
phplib, vous remarquerez que certains concepts sont similaires.
Chaque visiteur qui accède à votre site se voit assigner
un numéro d'identifiant, appelé plus loin "identifiant de
session". Celui-ci est enregistré soit dans un cookie, chez
le client, soit dans l'URL.
Les sessions vous permettront d'enregistrer des variables pour
les préserver et les réutiliser tout au long de la
visites de votre site. Lorsqu'un visiteur accèdere à votre site,
PHP vérifiera automatiquement (si session.auto_start est à
1) ou manuellement (explicitement avec session_start()
ou implicitement avec session_register()) si une
session a déjà été ouverte. Si
une telle session existe déjà, l'environnement
précédent sera recréé.
Toutes les variables à enregistrer seront enregistrées
sur le disque à la fin de chaque requête. Les variables
enregistrées mais non définies seront marquées
comme telles. Lors des accès ultérieurs, elles ne seront
définies que si l'utilisateur le fait.
Les options track_vars et gpc_globals
modifient la façon dont les variables sont rechargées.
Note :
Depuis PHP 4.0.3,
track_vars est toujours
activée.
Si track_vars est activée, et register_globals
désactivée, alors les variables de session seront accessibles
uniquement dans le tableau associatif global $HTTP_STATE_VARS.
Les variables de session lues seront disponibles dans
$HTTP_STATE_VARS.
Exemple 1.
Enregistrer une variable lorsque l'option track_vars
est activée
<?php
session_register("compte");
$HTTP_SESSION_VARS["compte"]++;
?> |
|
Si register_globals
est activée, alors les variables de session seront placées
dans les variables globales associées.
Exemple 2.
Enregistrer une variable lorsque register_globals
est activée
<?php
session_register("compte");
$compte++;
?> |
|
Si les deux options
track_vars et
register_globals
sont activées, alors les variables globales et
$HTTP_STATE_VARS contiendront les valeurs de session.
Il y a deux modes de propagation de l'identifiant de session :
Le module de session supporte les deux techniques. La
méthode par cookies est optimale, mais étant
donné son peu de fiabilité (les clients peuvent refuser
ou effacer les cookies), on ne peut pas se contenter de cette technique.
La deuxième méthode place l'identifiant de session
directement dans l'URL.
PHP est capable de gérer ceci de manière transparente,
lorsque vous le compilez avec l'option
--enable-trans-sid.
Dans ce cas, les URL relatives seront modifiées pour
contenir l'identifiant de session automatiquement. Sinon,
vous pouvez toujours utiliser la constante SID,
qui sera définie si le client n'envoie pas le cookie
approprié. SID prend la forme de
session_name=session_id, ou bien, c'est
une chaîne vide.
Note :
La fonction qui gérera l'écriture des données ne sera appelée
qu'une fois que le script aura envoyé toutes ses données. Ainsi,
les affichages tentés par cette fonction ne pourront jamais
être reçus par le navigateur. Si un tel affichage est nécessaire,
il est conseillé d'écrire les debugs dans un fichier.
L'exemple suivant montre comment enregistrer une variable, et comment relier
correctement des pages avec SID.
Exemple 3. Compter le nombre de hits d'un utilisateur. <?php
session_register("compteur");
$compteur++;
?>
Salut visiteur, vous avez vu cette page <?php echo $compteur; ?> times.<P>
<php?
# le <?=SID> est nécessaire pour transmettre l'identifiant de session
# au cas où les utilisateurs auraient inactivé les cookies
?> |
Pour continuer, <A HREF="nextpage.php?<?=SID"?>clique ici</?>
|
Le <?=SID-> n'est pas nécessaire, si l'option
--enable-trans-sid a été utilisée
pour compiler PHP.
Note :
Les URL absolues sont considérées comme des sites externes,
et PHP ne leur attribuera pas le SID, qui pourrait représenter
un trou de sécurité.
Pour enregistrer ces informations dans une base de données,
il vous faut utiliser la fonction session_set_save_handler().
Il faudra alors implémenter la fonction suivante pour
l'adapter à MySQL ou à toute autre base de données :
Le système de gestion des sessions dispose d'un grand nombre d'options,
qui sont placées dans le fichier php.ini. En voici
un survol rapide :
session.save_handler définit les noms
des fonctions qui seront utilisées pour enregistrer et
retrouver les données associées à une session.
Par défaut, les sessions sont enregistrées dans des
fichiers.
session.save_path définit l'argument qui
est passé à la fonction de sauvegarde. Si vous utilisez
la sauvegarde par fichier, cet argument est le chemin jusqu'au dossier
où les fichiers sont créés. Par défaut, le
dossier est /tmp.
Avertissement |
Si le dossier que vous utilisez a les droits de lecture universels,
comme /tmp (valeur par défaut), les autres utilisateurs
du serveur peuvent aussi lire ces fichiers, et s'immiscer dans vos sessions.
|
session.name spécifie le nom de la session,
qui sera utilisé comme nom de cookie. Par défaut :
PHPSESSID.
session.auto_start indique qu'une session doit
commencer automatiquement lors de la premier requête. Par
défaut, la valeur est à 0 (inactivé).
session.lifetime fixe la durée de vie,
en secondes, du cookie envoyé au client. La valeur 0 signifie
"jusqu'à ce que le client soit fermé". Par défaut
à 0 (inactivé).
session.serialize_handler définit le
nom de la fonction qui sera utilisée pour enregistrer et
relire les donnés. Actuellement, c'est un format interne
de PHP (nom : php) et WDDX (nom :
wddx). WDDX n'est utilisable que si
PHP a été compilé avec le
support WDDX. Par défaut,
c'est le mode php qui est sélectionné.
session.gc_probability précise la
probabilité que la routine gc (garbage collection) soit
lancée, en pourcentage. Par défaut, la valeur est à
1.
session.gc_maxlifetime fixe la durée,
en secondes, au-delà de laquelle les données
considérées comme inutiles seront supprimées.
session.referer_check représente la sous-chaîne
que vous utilisez pour vérifier la provenance de l'internaute.
Si l'entête HTTP Referer vous est fournie par le navigateur
et que cette sous-chaîne n'est pas trouvée, la session qui vous est
fournie sera considérée comme invalide (car provenant
probablement d'un autre site que le votre). Par défaut, cette
chaîne est vide.
session.entropy_file est le chemin jusqu'à
une source externe (fichier) d'entropie, qui sera utilisée
lors de la création de l'identifiant de session. Par exemple,
/dev/random ou /dev/urandom qui
sont disponibles sur de nombreux systèmes UNIX.
session.entropy_length précise le
nombre d'octets qui seront lus dans le fichier ci-dessus.
Par défaut, 0 (inactivé).
session.use_cookies cookies indique si le module doit
utiliser des cookies pour enregistrer l'identifiant de session chez le client.
Par défaut, 1 (activé).
session.cookie_path spécifie le chemin à
utiliser avec session_cookie. Par défaut, /.
session.cookie_domain spécifie le
domaine à utiliser avec session_cookie. Par défaut, rien du tout.
session.cache_limiter spécifie le contrôle du
cache, à utiliser avec les pages de session (nocache/private/public).
Par défaut, nocache.
session.cache_expire spécifie la durée de vie
des pages de session cachées, en minutes, mais sans que cela
ait d'effets sur le limiteur "nocache". Par défaut, 180.
session.use_trans_sid indique si le support du
SID est activé ou pas, lors de la compilation avec l'option
--enable-trans-sid.
Par défaut, elle vaut 1 (activée).
url_rewriter.tags spefifies which html tags are
rewritten to include session id if transient sid support is enabled.
Defaults to a=href,area=href,frame=src,input=src,form=fakeentry
Note :
La gestion des sessions a été ajoutée en PHP 4.0.