LXIX. Sessions

La gestion des sessions avec PHP est un moyen de sauver des informations entre deux accès. Cela permet notamment de construire des applications personnalisées, et d'accroître l'attrait de votre site.

Si vous connaissez déjà la gestion des sessions avec phplib, vous remarquerez que certains concepts sont similaires.

Chaque visiteur qui accède à votre site se voit assigner un numéro d'identifiant, appelé plus loin "identifiant de session". Celui ci est enregistré soit dans un cookie, chez le client, soit dans l'URL.

Les sessions vous permettront d'enregistrer des variables, pour les préserver et les réutiliser tout au long des requêtes. Lorsqu'un visiteur accède à votre site, PHP vérifiera automatiquement (si session.auto_start est à 1) ou manuellement (explicitement avec session_start() ou implicitement avec session_register()) si une session a déjà été ouverte. Si une telle session existe déjà, l'environnement précédent sera recréé.

Toutes les variables à enregistrer seront enregistrées sur le disque à la fin de chaque requête. Les variables enregistrées mais non définies seront marquées comme tel. Lors des accès ultérieurs, elles ne seront définies que si l'utilisateur le fait.

Les options track_vars et gpc_globals modifient la façon avec laquelle les variables sont rechargéees.

Si track_vars est activée, et register_globals est désactivée, alors les variables de session seront accessibles uniquement dans le tableau associatif global $HTTP_STATE_VARS. Les variables de sessions lues seront disponibles dans $HTTP_STATE_VARS.

Exemple 1. Enregistrer une variable lorsque l'option track_vars est activée <?php session_register("compte"); $HTTP_SESSION_VARS["compte"]++; ?>

Si register_globals est activé, alors les variables de session seront placés dans les variables globales associées.

Exemple 2. Enregistrer une variable lorsque register_globals est activée <?php session_register("compte"); $compte++; ?>

Si les deux options track_vars et register_globals sont activées, alors les variables globales et $HTTP_STATE_VARS contiendront les valeurs de session.

Il y a deux modes de propagation de l'identifiant de session :

• Cookies

• Paramètre URL

Le module de session supporte les deux techniques. La méthode par cookies est optimale, mais étant donné le peu de fiabilité (les clients peuvent les refuser, ou les effacer), on ne peut pas se contenter de cette technique. La deuxième méthode place l'identifiant de session directement dans l'URL.

PHP est capable de gérer ceci de manière transparente, lorsque vous le compilez avec l'option --enable-trans-sid. Dans ce cas, les URL relatives seront modifiées pour contenir l'identifiant de session automatiquement. Sinon, vous pouvez toujours utiliser la constante SID, qui sera définie si le client n'envoie pas le cookie approprié. SID prend la forme de session_name=session_id, ou bien, c'est une chaîne vide.

L'exemple suivant montre comment enregistrer une variable, et comment relier correctement des pages avec SID.

Exemple 3. Compter le nombre de hit d'un utilisateur. <?php session_register("compteur"); $compteur++; ?> Salut visiteur, vous avez vu cette page <?php echo $compteur; ?> times.<P> <php? # le <?=SID> est nécessaire pour transmettre l'identifiant de session # au cas oú les utilisateurs auraient inactivé les cookies ?> Pour continuer, <A HREF="nextpage.php?<?=SID"?>clique ici</?>

Le <?=SID-> n'est pas nécessaire, si l'option --enable-trans-sid a été utilisé pour compiler PHP.

Pour enregistrer ces informations dans une base de données, il vous faut utiliser la fonction session_set_save_handler(). Il faudra alors implémenter la fonction suivante pour l'adapter à MySQL ou toute autre base de données :

Le système de gestion des sessions dispose d'un grand nombre d'options, qui sont placées dans le fichier php.ini. En voici un survol rapide :

• session.save_handler défini les noms des fonctions qui seront utilisées pour enregistrer et retrouver les données associées à une session. Par défaut, les sessions sont enregistrées dans des fichiers.

• session.save_path défini l'argument qui est passé à la fonction de sauvegarde. Si vous utilisez la sauvegarde par fichier, cet argument est le chemin jusqu'au dossier oú les fichiers sont créés. Par défaut, le dossier est /tmp.

  Avertissement

  Si le dossier que vous utilisez a les droits de lecture universels, comme /tmp (valeur par défaut), les autres utilisateurs du serveur peuvent aussi lire ces fichiers, et s'imiscer dans vos sessions.

• session.name spécifie le nom de la session, qui sera utilisé comme nom de cookie. Par défaut : PHPSESSID.

• session.auto_start indique qu'une session doit commencer automatiquement lors de la premier requête. Par défaut à 0 (inactivé).

• session.lifetime fixe la durée de vie, en secondes, du cookie envoyé au client. La valeur 0 signifie "jusqu'à ce que le client soit fermé". Par défaut à 0 (inactivé).

• session.serialize_handler défini le nom de la fonction qui sera utilisée pour enregistrer et relire les donnés. Actuellement, c'est un format interne de PHP (nom : php) et WDDX (nom : wddx). WDDX n'est utilisable que si PHP a été compilé avec le support WDDX. Par défaut, c'est le mode php qui est selectionné.

• session.gc_probability précise la probabilité que la routine gc (garbage collection) soit lancée, en pourcentage. Par défaut, 1.

• session.gc_maxlifetime fixe la durée, en secondes, au-dela de laquelle les données considérées comme inutiles seront supprimées.

• session.referer_check détermine si l'identifiant de session ids utilisé par des sites externe seront éliminé. Si les identifiants de sessions sont propagés avec la méthode des URL, des utilisateurs qui n'en connaîtrait pas l'utilité risque de divulguer ces valeurs, et cela ménera à des problèmes de sécurité. Cette option y remédie. Par défaut : 0.

• session.entropy_file est le chemin jusqu'à une source externe (fichier) d'entropie, qui sera utilisée lors de la création de l'identifiant de session. Par exemple, /dev/random ou /dev/urandom qui sont disponibles sur de nombreux systèmes UNIX.

• session.entropy_length précise le nombre d'octets qui seront lus dans le fichier ci-dessus. Par défaut, 0 (inactivé).

• session.use_cookies cookies indique si le module doit utiliser des cookies pour enregistrer l'identifiant de session chez le client. Par défaut, 1 (activé).

• session.cookie_path spécifie le chemin à utiliser avec session_cookie. Par défaut, /.

• session.cookie_domain spécifie le domaine à utiliser avec session_cookie. Par défaut, rien du tout.

• session.cache_limiter spécifie le controle du cache, à utiliser avec les pages de sessions (nocache/private/public). Par défaut, nocache.

• session.cache_expire spécifie la durée de vie des pages de sessions cachées, en minutes, mais sans que cela n'ait d'efft sur le limiteur "nocache". Par défaut, 180.