Diferencia entre revisiones de «Plantilla:PHP/Inaem/Sesiones»
De WikiEducator
(Página creada con «<div class=parrafo> {{Conocimiento previo|Title=¿Qué son las sesiones?| * Es otro método para hacer que variables estén disponibles en múltiples páginas * A diferenci...») |
|||
| Línea 1: | Línea 1: | ||
<div class=parrafo> | <div class=parrafo> | ||
{{Conocimiento previo|Title=¿Qué son las sesiones?| | {{Conocimiento previo|Title=¿Qué son las sesiones?| | ||
| − | * Es | + | * Es una forma de hacer que variables estén disponibles en múltiples páginas |
| + | }} | ||
| + | |||
| + | {{MRM_Pregunta|Title=Por qué necesitamos sesiones| | ||
| + | ;Porque la programación web está basado en http, un protocolo sin estado. | ||
| + | }} | ||
| + | ===Ideas generales de las sesiones=== | ||
| + | |||
* A diferencia de las cookies, las variables de sesión se almacenan en el servidor | * A diferencia de las cookies, las variables de sesión se almacenan en el servidor | ||
| + | {{MRM_Pregunta|Title=Cookies| | ||
| + | ;Sabemos qué son las cookies | ||
| + | }} | ||
* Tienen un tiempo limitado de existencia. | * Tienen un tiempo limitado de existencia. | ||
* Para identificar al usuario que generó las variables de sesión, el servidor genera una clave única que es enviada al navegador y almacenada en una cookie. | * Para identificar al usuario que generó las variables de sesión, el servidor genera una clave única que es enviada al navegador y almacenada en una cookie. | ||
| Línea 12: | Línea 22: | ||
* Desventaja: ocupa espacio en el servidor. | * Desventaja: ocupa espacio en el servidor. | ||
}} | }} | ||
| + | {{MRM_Puntos clave|Title=Dónde se almacenan| | ||
| + | Las variables de sesión se almacenen en el servidor}} | ||
| + | |||
===SSID de la sesión=== | ===SSID de la sesión=== | ||
| + | Estas ideas son transparentes para el programador, no las tenemos que controlar, pero por higiene intelectual en la programación web, conviene conocer que | ||
*Existen dos maneras de mantener el SSID de la sesión | *Existen dos maneras de mantener el SSID de la sesión | ||
#Utilizando cookies, tema ya visto. | #Utilizando cookies, tema ya visto. | ||
| Línea 18: | Línea 32: | ||
http://www.misitioweb.com/tienda/listado.php&PHPSESSID=34534fg4ffg34ty | http://www.misitioweb.com/tienda/listado.php&PHPSESSID=34534fg4ffg34ty | ||
*En el ejemplo anterior, el SID es el valor del parámetro PHPSESSID. | *En el ejemplo anterior, el SID es el valor del parámetro PHPSESSID. | ||
| − | + | En php todas estas acciones se realizan de forma transparente para el programador, es decir, como desarrolladores podemos directamente utilizar las sesiones en php sin necesidad de tener que transmitir el SSID. Directemente '''php''' nos ofrece '''''supervariables''''' y '''''funciones''''' para gestionarlo.<br /> | |
===Configuración=== | ===Configuración=== | ||
| − | + | Existen una serie de '''''directivas''''' para configurar las sesiones, que conviene conocer. Como toda configuración tendemos a mantener su estado por defecto, lo cual es relativamente cómodo, pero no siempre práctico. | |
| + | {{MRM_Pregunta|Title=Ubicación del fichero de configuración| | ||
| + | Dónde está el fichero de configuración de php | ||
| + | }} | ||
*Estas se pueden consultar viendo phpinfo(), y modificar en el fichero de configuración de php, '''''php.ini''''' | *Estas se pueden consultar viendo phpinfo(), y modificar en el fichero de configuración de php, '''''php.ini''''' | ||
*Para ver todas las directivas http://es.php.net/manual/es/session.configuration.php | *Para ver todas las directivas http://es.php.net/manual/es/session.configuration.php | ||
| + | *Algunas directivas de configuración que pueden resultar de interés | ||
;session.use_cookies | ;session.use_cookies | ||
:Indica si se deben usar cookies (1) o propagación en la URL (0) para almacenar el SID. | :Indica si se deben usar cookies (1) o propagación en la URL (0) para almacenar el SID. | ||
| Línea 32: | Línea 50: | ||
:Determina el nombre de la cookie que se utilizará para guardar el SID. Su valor por defecto es PHPSESSID. | :Determina el nombre de la cookie que se utilizará para guardar el SID. Su valor por defecto es PHPSESSID. | ||
;session.auto_start | ;session.auto_start | ||
| − | :Su valor por defecto es 0, y en este caso deberás usar la función session_start para gestionar el inicio de las sesiones. Si usas sesiones en el sitio web, puede ser buena idea cambiar su valor a 1 para que PHP active de forma automática el manejo de sesiones. | + | :Su valor por defecto es 0, y en este caso deberás usar la función '''''session_start()''''' para gestionar el inicio de las sesiones. Si usas sesiones en el sitio web, puede ser buena idea cambiar su valor a 1 para que PHP active de forma automática el manejo de sesiones. No obstante por seguridad mejor hacerlo de forma explícita cuando lo necesites |
;session.cookie_lifetime | ;session.cookie_lifetime | ||
:Si utilizas la URL para propagar el SID, éste se perderá cuando cierres tu navegador. Sin embargo, si utilizas cookies, el SID se mantendrá mientras no se destruya la cookie. En su valor por defecto (0), las cookies se destruyen cuando se cierra el navegador. Si quieres que se mantenga el SID durante más tiempo, debes indicar en esta directiva ese tiempo en segundos. | :Si utilizas la URL para propagar el SID, éste se perderá cuando cierres tu navegador. Sin embargo, si utilizas cookies, el SID se mantendrá mientras no se destruya la cookie. En su valor por defecto (0), las cookies se destruyen cuando se cierra el navegador. Si quieres que se mantenga el SID durante más tiempo, debes indicar en esta directiva ese tiempo en segundos. | ||
;session.gc_maxlifetime | ;session.gc_maxlifetime | ||
:Indica el tiempo en segundos que se debe mantener activa la sesión, aunque no haya ninguna actividad por parte del usuario. Su valor por defecto es 1440. Es decir, pasados 24 minutos desde la última actividad por parte del usuario, se cierra su sesión automáticamente. | :Indica el tiempo en segundos que se debe mantener activa la sesión, aunque no haya ninguna actividad por parte del usuario. Su valor por defecto es 1440. Es decir, pasados 24 minutos desde la última actividad por parte del usuario, se cierra su sesión automáticamente. | ||
| − | |||
===Creando la sesión=== | ===Creando la sesión=== | ||
| − | *En función de | + | *En función de cómo esté configurado la directiva '''''session.auto_start''''' |
*Si esta activada, la sesión comienza automáticamente al conectarse a un sitio | *Si esta activada, la sesión comienza automáticamente al conectarse a un sitio | ||
| − | *Si no está activada la iniciaremos con la funcion session_start(); | + | *Si no está activada la iniciaremos con la funcion '''''session_start()'''''; |
{{Tip|Una vez creada la sesión podemos almacenar/consultar información de la misma consultando la variable superglobal '''''$_SESSION'''''}} | {{Tip|Una vez creada la sesión podemos almacenar/consultar información de la misma consultando la variable superglobal '''''$_SESSION'''''}} | ||
{{MRM_Actividad|Title=Programa de visitas con sesiones| | {{MRM_Actividad|Title=Programa de visitas con sesiones| | ||
| Línea 50: | Línea 67: | ||
session_regenerate_id() | session_regenerate_id() | ||
}} | }} | ||
| − | ===Eliminando la | + | ===Eliminando la sesión=== |
*Se puede configurar para que de forma automática se eliminen los datos de una sesión pasados un determinado tiempo | *Se puede configurar para que de forma automática se eliminen los datos de una sesión pasados un determinado tiempo | ||
*También podemos actuar directamente sobre una sesión eliminando información | *También podemos actuar directamente sobre una sesión eliminando información | ||
Revisión de 22:50 6 feb 2017
|
|
Ideas generales de las sesiones
- A diferencia de las cookies, las variables de sesión se almacenan en el servidor
|
- Tienen un tiempo limitado de existencia.
- Para identificar al usuario que generó las variables de sesión, el servidor genera una clave única que es enviada al navegador y almacenada en una cookie.
- Luego, cada vez que el navegador solicita otra página al mismo sitio, envía esta cookie (clave única) con la cual el servidor identifica de qué navegador proviene la petición y puede rescatar de un archivo de texto las variables de sesión que se han creado.
- Cuando han pasado 20 minutos sin peticiones por parte de un cliente (navegador) las variables de sesión son eliminadas automáticamente (se puede configurar el entorno de PHP para variar este tiempo).
- Una variable de sesión es más segura que una cookie ya que se almacena en el servidor.
- No tiene que estar enviándose continuamente como sucede con las cookies.
- Cuando el navegador del cliente está configurado para desactivar las cookies las variables de sesión, tienen forma de funcionar (enviando la clave como parámetro en cada hipervínculo).
- Desventaja: ocupa espacio en el servidor.
}}
|
Las variables de sesión se almacenen en el servidor |
SSID de la sesión
Estas ideas son transparentes para el programador, no las tenemos que controlar, pero por higiene intelectual en la programación web, conviene conocer que
- Existen dos maneras de mantener el SSID de la sesión
- Utilizando cookies, tema ya visto.
- Propagando el SID en un parámetro de la URL. El SID se añade como una parte más de la URL, de la forma:
http://www.misitioweb.com/tienda/listado.php&PHPSESSID=34534fg4ffg34ty
- En el ejemplo anterior, el SID es el valor del parámetro PHPSESSID.
En php todas estas acciones se realizan de forma transparente para el programador, es decir, como desarrolladores podemos directamente utilizar las sesiones en php sin necesidad de tener que transmitir el SSID. Directemente php nos ofrece supervariables y funciones para gestionarlo.
Configuración
Existen una serie de directivas para configurar las sesiones, que conviene conocer. Como toda configuración tendemos a mantener su estado por defecto, lo cual es relativamente cómodo, pero no siempre práctico.
|
Dónde está el fichero de configuración de php
|
- Estas se pueden consultar viendo phpinfo(), y modificar en el fichero de configuración de php, php.ini
- Para ver todas las directivas http://es.php.net/manual/es/session.configuration.php
- Algunas directivas de configuración que pueden resultar de interés
- session.use_cookies
- Indica si se deben usar cookies (1) o propagación en la URL (0) para almacenar el SID.
- session.use_only_cookies
- Se debe activar (1) cuando utilizas cookies para almacenar los SID, y además no quieres que se reconozcan los SID que se puedan pasar como parte de la URL (este método se puede usar para usurpar el identificador de otro usuario).
- session.save_handler
- Se utiliza para indicar a PHP cómo debe almacenar los datos de la sesión del usuario. Existen cuatro opciones: en ficheros (files), en memoria (mm), en una base de datos SQLite (sqlite) o utilizando para ello funciones que debe definir el programador (user). El valor por defecto (files) funcionará sin problemas en la mayoría de los casos.
- session.name
- Determina el nombre de la cookie que se utilizará para guardar el SID. Su valor por defecto es PHPSESSID.
- session.auto_start
- Su valor por defecto es 0, y en este caso deberás usar la función session_start() para gestionar el inicio de las sesiones. Si usas sesiones en el sitio web, puede ser buena idea cambiar su valor a 1 para que PHP active de forma automática el manejo de sesiones. No obstante por seguridad mejor hacerlo de forma explícita cuando lo necesites
- session.cookie_lifetime
- Si utilizas la URL para propagar el SID, éste se perderá cuando cierres tu navegador. Sin embargo, si utilizas cookies, el SID se mantendrá mientras no se destruya la cookie. En su valor por defecto (0), las cookies se destruyen cuando se cierra el navegador. Si quieres que se mantenga el SID durante más tiempo, debes indicar en esta directiva ese tiempo en segundos.
- session.gc_maxlifetime
- Indica el tiempo en segundos que se debe mantener activa la sesión, aunque no haya ninguna actividad por parte del usuario. Su valor por defecto es 1440. Es decir, pasados 24 minutos desde la última actividad por parte del usuario, se cierra su sesión automáticamente.
Creando la sesión
- En función de cómo esté configurado la directiva session.auto_start
- Si esta activada, la sesión comienza automáticamente al conectarse a un sitio
- Si no está activada la iniciaremos con la funcion session_start();
Tip: Una vez creada la sesión podemos almacenar/consultar información de la misma consultando la variable superglobal $_SESSION
|
|
Tip: Cuando se hace un cambio de estado (login, cambio de permisos, ...): regenerar id.
session_regenerate_id()
Eliminando la sesión
- Se puede configurar para que de forma automática se eliminen los datos de una sesión pasados un determinado tiempo
- También podemos actuar directamente sobre una sesión eliminando información
- session_unset.
- Elimina las variables almacenadas en la sesión actual, pero no elimina la información de la sesión del dispositivo de almacenamiento usado.
- session_destroy.
Elimina completamente la información de la sesión del dispositivo de almacenamiento.
