php禁止浏览器记住密码,关于PHP中浏览器禁止Cookie后，Session是否能继续使用

今天去面试&＃xff0c;被问到浏览器禁止了COOKIE后&＃xff0c;Session还能继续使用吗&＃xff1f;当时很自信的说当然不能用了&＃xff0c;把之前了解到的信息负复述了一边&＃xff0c;面试官很是无奈&＃xff0c;很显然失败的面试&＃xff0c;回来后找了度娘&＃xff0c;果不其然&＃xff0c;以后面试的每个问题都需要认真对待啊。

关于PHP中浏览器禁止COOKIE后&＃xff0c;Session能使用吗&＃xff1f;我们来做些测试&＃xff0c;然后说明原理。

我建立两个文件session_test.php和session_a.php内容分别是&＃xff1a;

session_start();

$_SESSION[&＃39;url&＃39;] &＃61; &＃39;http://www.phpddt.com&＃39;;

echo &＃39;这个页面取到的session值&＃xff1a;&＃39;.$_SESSION[&＃39;url&＃39;];

echo "另一个页面";

session_start();

echo "看这里是否获取到session的值&＃xff1a;".$_SESSION[&＃39;url&＃39;];

运行session_test.php结果&＃xff1a;

点击另一个页面&＃xff0c;默认当然是可以获取的,但是当我禁止COOKIE后呢&＃xff1f;

看看session_a.php结果&＃xff1a;

PHP中的session在默认情况下是使用客户端的COOKIE来保存session id的,所以当客户端的COOKIE出现问题的时候就会影响session了。但是Session并不完全依赖COOKIE&＃xff0c;它还可以通过URL Get传递session id的。这需要你将php.ini中session.use_trans_sid &＃61; 1&＃xff0c;这表示允许SessionID通过URL明文传输&＃xff0c;既然GET可以&＃xff0c;那么POST传递session id我觉得也可以吧。

好&＃xff0c;这样&＃xff0c;把上面session_test.php和session_a.php改造下就可以使用sesson了&＃xff1a;

session_start();

$_SESSION[&＃39;url&＃39;] &＃61; &＃39;http://my.oschina.net/u/585327/blog/515341&＃39;;

echo &＃39;这个页面取到的session值&＃xff1a;&＃39;.$_SESSION[&＃39;url&＃39;];

?>

&＃61;">另一个页面

session_id($_GET[&＃39;PHPSESSID&＃39;]);

session_start(); echo "看这里是否获取到session的值&＃xff1a;".$_SESSION[&＃39;url&＃39;];

如愿以偿&＃xff1a;

最后说明&＃xff1a;

php.ini 中 SESSION 的配置

session.use_only_COOKIEs &＃61; 1; // 开启仅使用COOKIEs存放会话id

session.use_trans_sid &＃61; 1; // 允许SessionID通过URL明文传输

在这种情况下虽然已经允许了SessionID通过URL明文传输&＃xff0c;担是同时又开启了仅使用COOKIEs存放会话SessionID&＃xff0c;所以在URL中明文传输的PHPSESSIONID参数值是无效的&＃xff0c;SESSION不能用。

php.ini 中 SESSION 的配置

session.use_trans_sid &＃61; 0; // 禁止SessionID通过URL方式明文传输

SESSION 不能用&＃xff0c; 这是最这安全的做法&＃xff0c;也是php.ini 的默认配置