使用PHPLIB进行Session的管理
时间:2007-02-17 来源:PHP爱好者
首先要说明一个事实,用Web页面设计需要保存客户当前状态的程序时极为不
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
便,例如在线Shopping,作为一名程序员,你必须时时面对在各个主页之间传
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
递的状态参数。客户的身份认证、他已做出的选择、他当前的状态等等,Web主
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
页并不会替你保存这些状态信息,你必须自己小心处理这些参数,这给我们带
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
来了太多的不便,利用http://url?var1=x1&var2=x2来在主页间传送参数实在
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
太危险,尤其是变量中包含用户注册信息时很容易被sniff,那么,我们如何解
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
决这个问题呢?
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB解决了这个问题,它是在PHP3上的一个扩展,提供了很多类库,使得程
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
序员能很容易地建立一个交互式Web站点,PHPLIB最基本的功能包括用户认证,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
Session管理,权限及数据库的抽象化。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
安装PHPLIB前你必须在你的服务器上先安装好php3,PHPLIB可以运行在Cgi方式
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
或apache附加模块方式。PHP3的版本必须时在3.0.5之上,PHP3早期版本可以在
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
编译时使用参数 --enable-foce-cgi-redirect来获得支持,如果不这么做的
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
话,会出现安全问题。PHP3的配置中 track_vars 需要设置为 enabled。同时
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
需要一个数据库,PHPLIB支持MySQL、Oracle、ODBC、PostgreSQL、Sybase。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
第一步,PHPLIB的类库需要根据系统进行初始化,你可以修改local.inc文件,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
其中包含着一些基本参数,你可以根据自己机器的情况来进行修改。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
我们说明一下PHPLIB的工作原理,每一个使用PHPLIB的页面首先必须可以找到
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
运行PHPLIB的必须类库文件,我们可以在php3.ini中设置auto_prepend变量来
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
支持,PHPLIB分发包中包含一个prepend.php3文件,将auto_prepend指定为
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
prepend.php3后,各页面就会自动包含PHPLIB类库,我们还可以将PHPLIB类库
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
所在目录加进include变量中,以便可以找到这些文件,当然,最苯的办法就是
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
指定绝对路径,这可不是个好主意!
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
第二步,每一个使用PHPLIB的页面中,你必须使用函数page_open进行初始化。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
这会告诉PHPLIB,你现在或将来会用到状态保存。一个典型的page_open例子包
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
含到了认证、Session、权限:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
page_open(array( "sess" => "Cms_Session", "auth" => "Cms_Auth",
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
"perm" => "Cms_Perm"));
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
数组变量(sess,auth,perm)用来初始化一些状态保存对象,注意:必须使用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB内置名(sess,auth,perm),这些内置名是你在local.ini中所定义的,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
page_open函数必须在页面内容输出到浏览器之前被调用。(如果你将来不会用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
到认证的话,可以不初始化sess),php3脚本最后应以page_close()结束,这
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
将会将有关状态数据写回到数据库中,如果你忘了的话,将会,哈哈哈。。。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
因为PHPLIB使用了Cookies来保存状态信息,所以page_open()函数必须在页面
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
内容输出到浏览器之前被调用, 这里的页面内容可以是任何HTML信息或者空
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
行,如果你发现了错误"Oops - SetCookie called after header has
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
been sent",这表明在page_open()之前向浏览器输出了些什么,你要特别留意
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
空行,因为非常难找到,典型的错误是在<? 和 ?>标记之间输出了空行,你应
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
检查在local.inc和prepend.php3文件中是否包含了空行,这也是一个非常容易
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
出错的地方。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHP使用了一种比基本认证方法更为复杂的架构,这使得安全有了更好的保证。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
举例来说,对于你想要限制访问的页面,会首先使用page_open来调用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
"auth" => "auth_class" ,初始化认证状态对象后,状态就会被保存起来,随
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
后当客户再访问别的页面的时候,认证系统就会首先检测用户的身份是否已经
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
经过认证。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
让我们解释一下,当一个用户第一次访问页面时,他的身份未经过认证,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB会调用一个注册窗口(并非在WINDOWS中的弹出窗口),你可以自己设计
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
注册窗口的样式,当用户输入他的用户名与口令,并按下提交钮后,身份认证
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
工作就开始了,随后的情况有些复杂,让我们慢慢解释……
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
这里分两种情况,如果用户的浏览器不能兼容Javascript的话,认证工作就象
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
询问嫌疑犯一样,用户名与口令被送往服务器,与存放在那里的数据进行比
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
较。如果用户的浏览器与Javascript兼容,这就麻烦一些了,PHPLIB首先会在
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
客户端的页面中放入一个用来加密的种子字串,名叫“challenge”,当用户提
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
交该页面时,用户的用户名、口令和challenge字串会使用md5的加密方式进行
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
加密,生成一个加密字串,将该加密字串与用户名提交给服务器。当服务器收
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
到用户名和加密后的字串后,他根据数据库中的用户名与口令和得到的种子进
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
行md5运算,将生成的字串与用户提交的字串进行比较,如果符合的话,说明用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
户身份是正确的,就允许用户进行随后的访问。这种方法的好处是:用户不用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
提交密码,这使得认证比较安全。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
Session 管理
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
其实Session的管理和身份认证非常接近,当一个用户的身份认证过了后,随即
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
用户的session就开始了,如果用户的浏览器支持cookie的话,将会建立一个
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
session的id放入cookie,这个唯一的ID是由PHP3随机生成,然后又用随机种子
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
字串进行md5加密过了的,这里的cookie应该叫做session cookie,因为这个
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
cookie是不会写到用户硬盘里去的,当一个session进行完的时候,该cookie也
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
被完结了。如果用户浏览器不支持cookie的话,那么 该session的id将会放入
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
url链中,因为是加密过的,所以窃取了也没用。session id存放着用户的有关
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
信息,如用户已认证、认证到期时间、用户权限,和其他一些你可能需要的信
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
息,方便我们取用。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
Session其实就是用户一次会话的过程。Session的管理并不是仅仅用来跟踪用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
户的注册,实际上,它还可以脱离认证来使用,你可以用它来存储任何你想要
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
存贮的信息,这些信息可以在用户随后访问的页面中派上用场,当然前提是那
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
些页面要使用PHPLIB。方法很简单,注册一个变量后即可在随后的页面中使用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
它,直至session结束。方法:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php $sess->register( "variable_name"); ?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
注意,这里的variable_name不是变量值,而是变量名,可以先指定变量名,随
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
后再赋值。你在某个页面中可以改变变量的值,随后的页面访问该变量时会得
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
到改变后的值。变量的类型是多样的,可以是一个字串,一个数字,一个数
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
组,甚至一个对象。举例来说明:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$sess->register( "first");
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
if (check($firstname)) {
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$first = $firstname;
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
}
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
注意:这里有一点很重要。你可以先注册一个变量随后再对它赋值,这样非常
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
有效,我们大可以在脚本的任何地方定义变量而不赋值,而在随后的页面中再
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
赋值,这样方便集中定义变量。大家可能注意到了,上面的例子中我们没有简
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
单的对变量赋值,处于安全的考虑,你不应该轻率地将表单数据放入变量。上
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
例中,我们对变量进行了检查,然后才对变量赋值。这是一个很好的习惯。大
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
家应该注意。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
注册完一个变量,当页面最后调用page_close()函数后,各个session变量会被
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
写回到数据库中,如果你忘记调用page_close()函数的话,变量就不会被写回
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
数据库,将出现不可予知的后果。当变量被使用完毕后,你不在需要用到了,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
可以调用以下函数将变量删除:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$sess->unregister( "variable_name");
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB 7.0中,使用了一种存储结构,它允许你存储session数据到数据库中、
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
共享内存中或者LDAP中。PHPLIB使用了数据库类,这使得你有了更多的选择。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
权限管理
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
权限是和认证分不开的。当一个用户的身份被确认以后,你可以接着来确定他
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
的级别及权限。当然,你必须先调用page_open来初始化"perm"对象。检查用户
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
权限的命令如下:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$perm->check( "permission_level");
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
这条命令会检查用户是否符合你指定的级别,指定的级别应在local.inc文件中
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
已经定义好,你可以自己定义各种级别。如果用户被检查出不符合级别。则
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
perm_invalid()函数自动被调用。你可以建立自己的perm_invalid函数。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
以下是PHPLIB中检查权限的另一种方法:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$perm->have_perm( "permission_level");
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
have_perm与check函数不同,它只返回true或false,但并不退出脚本,这样我
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
们可以更好的控制程序流程。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
if ($perm->have_perm( "guest"))
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
{ //do something; }
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
elseif ($perm->have_perm( "admin"))
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
{ //do something else; }
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
else { //yet something else; }
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
最后要说的: PHPLIB还可以做很多别的事情,例如数据库类。本篇文章只是对
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB的简单介绍。
php爱好者站 http://www.phpfans.net 为phper提供一切资讯.
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
便,例如在线Shopping,作为一名程序员,你必须时时面对在各个主页之间传
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
递的状态参数。客户的身份认证、他已做出的选择、他当前的状态等等,Web主
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
页并不会替你保存这些状态信息,你必须自己小心处理这些参数,这给我们带
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
来了太多的不便,利用http://url?var1=x1&var2=x2来在主页间传送参数实在
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
太危险,尤其是变量中包含用户注册信息时很容易被sniff,那么,我们如何解
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
决这个问题呢?
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB解决了这个问题,它是在PHP3上的一个扩展,提供了很多类库,使得程
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
序员能很容易地建立一个交互式Web站点,PHPLIB最基本的功能包括用户认证,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
Session管理,权限及数据库的抽象化。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
安装PHPLIB前你必须在你的服务器上先安装好php3,PHPLIB可以运行在Cgi方式
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
或apache附加模块方式。PHP3的版本必须时在3.0.5之上,PHP3早期版本可以在
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
编译时使用参数 --enable-foce-cgi-redirect来获得支持,如果不这么做的
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
话,会出现安全问题。PHP3的配置中 track_vars 需要设置为 enabled。同时
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
需要一个数据库,PHPLIB支持MySQL、Oracle、ODBC、PostgreSQL、Sybase。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
第一步,PHPLIB的类库需要根据系统进行初始化,你可以修改local.inc文件,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
其中包含着一些基本参数,你可以根据自己机器的情况来进行修改。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
我们说明一下PHPLIB的工作原理,每一个使用PHPLIB的页面首先必须可以找到
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
运行PHPLIB的必须类库文件,我们可以在php3.ini中设置auto_prepend变量来
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
支持,PHPLIB分发包中包含一个prepend.php3文件,将auto_prepend指定为
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
prepend.php3后,各页面就会自动包含PHPLIB类库,我们还可以将PHPLIB类库
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
所在目录加进include变量中,以便可以找到这些文件,当然,最苯的办法就是
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
指定绝对路径,这可不是个好主意!
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
第二步,每一个使用PHPLIB的页面中,你必须使用函数page_open进行初始化。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
这会告诉PHPLIB,你现在或将来会用到状态保存。一个典型的page_open例子包
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
含到了认证、Session、权限:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
page_open(array( "sess" => "Cms_Session", "auth" => "Cms_Auth",
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
"perm" => "Cms_Perm"));
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
数组变量(sess,auth,perm)用来初始化一些状态保存对象,注意:必须使用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB内置名(sess,auth,perm),这些内置名是你在local.ini中所定义的,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
page_open函数必须在页面内容输出到浏览器之前被调用。(如果你将来不会用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
到认证的话,可以不初始化sess),php3脚本最后应以page_close()结束,这
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
将会将有关状态数据写回到数据库中,如果你忘了的话,将会,哈哈哈。。。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
因为PHPLIB使用了Cookies来保存状态信息,所以page_open()函数必须在页面
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
内容输出到浏览器之前被调用, 这里的页面内容可以是任何HTML信息或者空
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
行,如果你发现了错误"Oops - SetCookie called after header has
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
been sent",这表明在page_open()之前向浏览器输出了些什么,你要特别留意
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
空行,因为非常难找到,典型的错误是在<? 和 ?>标记之间输出了空行,你应
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
检查在local.inc和prepend.php3文件中是否包含了空行,这也是一个非常容易
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
出错的地方。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHP使用了一种比基本认证方法更为复杂的架构,这使得安全有了更好的保证。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
举例来说,对于你想要限制访问的页面,会首先使用page_open来调用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
"auth" => "auth_class" ,初始化认证状态对象后,状态就会被保存起来,随
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
后当客户再访问别的页面的时候,认证系统就会首先检测用户的身份是否已经
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
经过认证。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
让我们解释一下,当一个用户第一次访问页面时,他的身份未经过认证,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB会调用一个注册窗口(并非在WINDOWS中的弹出窗口),你可以自己设计
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
注册窗口的样式,当用户输入他的用户名与口令,并按下提交钮后,身份认证
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
工作就开始了,随后的情况有些复杂,让我们慢慢解释……
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
这里分两种情况,如果用户的浏览器不能兼容Javascript的话,认证工作就象
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
询问嫌疑犯一样,用户名与口令被送往服务器,与存放在那里的数据进行比
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
较。如果用户的浏览器与Javascript兼容,这就麻烦一些了,PHPLIB首先会在
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
客户端的页面中放入一个用来加密的种子字串,名叫“challenge”,当用户提
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
交该页面时,用户的用户名、口令和challenge字串会使用md5的加密方式进行
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
加密,生成一个加密字串,将该加密字串与用户名提交给服务器。当服务器收
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
到用户名和加密后的字串后,他根据数据库中的用户名与口令和得到的种子进
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
行md5运算,将生成的字串与用户提交的字串进行比较,如果符合的话,说明用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
户身份是正确的,就允许用户进行随后的访问。这种方法的好处是:用户不用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
提交密码,这使得认证比较安全。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
Session 管理
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
其实Session的管理和身份认证非常接近,当一个用户的身份认证过了后,随即
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
用户的session就开始了,如果用户的浏览器支持cookie的话,将会建立一个
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
session的id放入cookie,这个唯一的ID是由PHP3随机生成,然后又用随机种子
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
字串进行md5加密过了的,这里的cookie应该叫做session cookie,因为这个
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
cookie是不会写到用户硬盘里去的,当一个session进行完的时候,该cookie也
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
被完结了。如果用户浏览器不支持cookie的话,那么 该session的id将会放入
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
url链中,因为是加密过的,所以窃取了也没用。session id存放着用户的有关
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
信息,如用户已认证、认证到期时间、用户权限,和其他一些你可能需要的信
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
息,方便我们取用。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
Session其实就是用户一次会话的过程。Session的管理并不是仅仅用来跟踪用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
户的注册,实际上,它还可以脱离认证来使用,你可以用它来存储任何你想要
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
存贮的信息,这些信息可以在用户随后访问的页面中派上用场,当然前提是那
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
些页面要使用PHPLIB。方法很简单,注册一个变量后即可在随后的页面中使用
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
它,直至session结束。方法:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php $sess->register( "variable_name"); ?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
注意,这里的variable_name不是变量值,而是变量名,可以先指定变量名,随
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
后再赋值。你在某个页面中可以改变变量的值,随后的页面访问该变量时会得
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
到改变后的值。变量的类型是多样的,可以是一个字串,一个数字,一个数
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
组,甚至一个对象。举例来说明:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$sess->register( "first");
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
if (check($firstname)) {
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$first = $firstname;
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
}
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
注意:这里有一点很重要。你可以先注册一个变量随后再对它赋值,这样非常
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
有效,我们大可以在脚本的任何地方定义变量而不赋值,而在随后的页面中再
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
赋值,这样方便集中定义变量。大家可能注意到了,上面的例子中我们没有简
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
单的对变量赋值,处于安全的考虑,你不应该轻率地将表单数据放入变量。上
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
例中,我们对变量进行了检查,然后才对变量赋值。这是一个很好的习惯。大
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
家应该注意。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
注册完一个变量,当页面最后调用page_close()函数后,各个session变量会被
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
写回到数据库中,如果你忘记调用page_close()函数的话,变量就不会被写回
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
数据库,将出现不可予知的后果。当变量被使用完毕后,你不在需要用到了,
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
可以调用以下函数将变量删除:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$sess->unregister( "variable_name");
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB 7.0中,使用了一种存储结构,它允许你存储session数据到数据库中、
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
共享内存中或者LDAP中。PHPLIB使用了数据库类,这使得你有了更多的选择。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
权限管理
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
权限是和认证分不开的。当一个用户的身份被确认以后,你可以接着来确定他
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
的级别及权限。当然,你必须先调用page_open来初始化"perm"对象。检查用户
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
权限的命令如下:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$perm->check( "permission_level");
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
这条命令会检查用户是否符合你指定的级别,指定的级别应在local.inc文件中
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
已经定义好,你可以自己定义各种级别。如果用户被检查出不符合级别。则
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
perm_invalid()函数自动被调用。你可以建立自己的perm_invalid函数。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
以下是PHPLIB中检查权限的另一种方法:
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
$perm->have_perm( "permission_level");
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
have_perm与check函数不同,它只返回true或false,但并不退出脚本,这样我
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
们可以更好的控制程序流程。
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
<?php
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
if ($perm->have_perm( "guest"))
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
{ //do something; }
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
elseif ($perm->have_perm( "admin"))
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
{ //do something else; }
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
else { //yet something else; }
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
?>
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
最后要说的: PHPLIB还可以做很多别的事情,例如数据库类。本篇文章只是对
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
ww w.china it power.coDJiEURrTzX3aczCqQY9MqcJp9
PHPLIB的简单介绍。
php爱好者站 http://www.phpfans.net 为phper提供一切资讯.
相关阅读 更多 +
