XCII. Sessions

La gestion des sessions avec PHP est un moyen de sauver des informations entre deux accès. Cela permet notamment de construire des applications personnalisées, et d'accroître l'attrait de votre site.

Si vous connaissez déjà la gestion des sessions avec phplib, vous remarquerez que certains concepts sont similaires.

Chaque visiteur qui accède à votre site se voit assigner un numéro d'identifiant, appelé plus loin "identifiant de session". Celui-ci est enregistré soit dans un cookie, chez le client, soit dans l'URL.

Les sessions vous permettront d'enregistrer des variables pour les préserver et les réutiliser tout au long de la visites de votre site. Lorsqu'un visiteur accèdere à votre site, PHP vérifiera automatiquement (si session.auto_start est à 1) ou manuellement (explicitement avec session_start() ou implicitement avec session_register()) si une session a déjà été ouverte. Si une telle session existe déjà, l'environnement précédent sera recréé.

Toutes les variables à enregistrer seront enregistrées sur le disque à la fin de chaque requête. Les variables enregistrées mais non définies seront marquées comme telles. Lors des accès ultérieurs, elles ne seront définies que si l'utilisateur le fait.

Les options track_vars et gpc_globals modifient la façon dont les variables sont rechargées.

Note : Depuis PHP 4.0.3, track_vars est toujours activée.

Si track_vars est activée, et register_globals désactivée, alors les variables de session seront accessibles uniquement dans le tableau associatif global $HTTP_STATE_VARS. Les variables de session lues seront disponibles dans $HTTP_STATE_VARS.
Exemple 1. Enregistrer une variable lorsque l'option track_vars est activée
<?php session_register("compte"); $HTTP_SESSION_VARS["compte"]++; ?>

Si register_globals est activée, alors les variables de session seront placées dans les variables globales associées.
Exemple 2. Enregistrer une variable lorsque register_globals est activée
<?php session_register("compte"); $compte++; ?>

Si les deux options track_vars et register_globals sont activées, alors les variables globales et $HTTP_STATE_VARS contiendront les valeurs de session.

Il y a deux modes de propagation de l'identifiant de session :

Cookies
Paramètre URL

Le module de session supporte les deux techniques. La méthode par cookies est optimale, mais étant donné son peu de fiabilité (les clients peuvent refuser ou effacer les cookies), on ne peut pas se contenter de cette technique. La deuxième méthode place l'identifiant de session directement dans l'URL.

PHP est capable de gérer ceci de manière transparente, lorsque vous le compilez avec l'option --enable-trans-sid. Dans ce cas, les URL relatives seront modifiées pour contenir l'identifiant de session automatiquement. Sinon, vous pouvez toujours utiliser la constante SID, qui sera définie si le client n'envoie pas le cookie approprié. SID prend la forme de session_name=session_id, ou bien, c'est une chaîne vide.

Note : La fonction qui gérera l'écriture des données ne sera appelée qu'une fois que le script aura envoyé toutes ses données. Ainsi, les affichages tentés par cette fonction ne pourront jamais être reçus par le navigateur. Si un tel affichage est nécessaire, il est conseillé d'écrire les debugs dans un fichier.

L'exemple suivant montre comment enregistrer une variable, et comment relier correctement des pages avec SID.
Exemple 3. Compter le nombre de hits d'un utilisateur.
<?php session_register("compteur"); $compteur++; ?> Salut visiteur, vous avez vu cette page <?php echo $compteur; ?> times.<P> <php? # le <?=SID> est nécessaire pour transmettre l'identifiant de session # au cas où les utilisateurs auraient inactivé les cookies ?>
Pour continuer, <A HREF="nextpage.php?<?=SID"?>clique ici</?>

Le <?=SID-> n'est pas nécessaire, si l'option --enable-trans-sid a été utilisée pour compiler PHP.

Note : Les URL absolues sont considérées comme des sites externes, et PHP ne leur attribuera pas le SID, qui pourrait représenter un trou de sécurité.

Pour enregistrer ces informations dans une base de données, il vous faut utiliser la fonction session_set_save_handler(). Il faudra alors implémenter la fonction suivante pour l'adapter à MySQL ou à toute autre base de données :

Le système de gestion des sessions dispose d'un grand nombre d'options, qui sont placées dans le fichier php.ini. En voici un survol rapide :

session.save_handler définit les noms des fonctions qui seront utilisées pour enregistrer et retrouver les données associées à une session. Par défaut, les sessions sont enregistrées dans des fichiers.

session.save_path définit l'argument qui est passé à la fonction de sauvegarde. Si vous utilisez la sauvegarde par fichier, cet argument est le chemin jusqu'au dossier où les fichiers sont créés. Par défaut, le dossier est /tmp.

Avertissement

Si le dossier que vous utilisez a les droits de lecture universels, comme /tmp (valeur par défaut), les autres utilisateurs du serveur peuvent aussi lire ces fichiers, et s'immiscer dans vos sessions.

session.name spécifie le nom de la session, qui sera utilisé comme nom de cookie. Par défaut : PHPSESSID.
session.auto_start indique qu'une session doit commencer automatiquement lors de la premier requête. Par défaut, la valeur est à 0 (inactivé).
session.lifetime fixe la durée de vie, en secondes, du cookie envoyé au client. La valeur 0 signifie "jusqu'à ce que le client soit fermé". Par défaut à 0 (inactivé).
session.serialize_handler définit le nom de la fonction qui sera utilisée pour enregistrer et relire les donnés. Actuellement, c'est un format interne de PHP (nom : php) et WDDX (nom : wddx). WDDX n'est utilisable que si PHP a été compilé avec le support WDDX. Par défaut, c'est le mode php qui est sélectionné.
session.gc_probability précise la probabilité que la routine gc (garbage collection) soit lancée, en pourcentage. Par défaut, la valeur est à 1.
session.gc_maxlifetime fixe la durée, en secondes, au-delà de laquelle les données considérées comme inutiles seront supprimées.
session.referer_check représente la sous-chaîne que vous utilisez pour vérifier la provenance de l'internaute. Si l'entête HTTP Referer vous est fournie par le navigateur et que cette sous-chaîne n'est pas trouvée, la session qui vous est fournie sera considérée comme invalide (car provenant probablement d'un autre site que le votre). Par défaut, cette chaîne est vide.
session.entropy_file est le chemin jusqu'à une source externe (fichier) d'entropie, qui sera utilisée lors de la création de l'identifiant de session. Par exemple, /dev/random ou /dev/urandom qui sont disponibles sur de nombreux systèmes UNIX.
session.entropy_length précise le nombre d'octets qui seront lus dans le fichier ci-dessus. Par défaut, 0 (inactivé).
session.use_cookies cookies indique si le module doit utiliser des cookies pour enregistrer l'identifiant de session chez le client. Par défaut, 1 (activé).
session.cookie_path spécifie le chemin à utiliser avec session_cookie. Par défaut, /.
session.cookie_domain spécifie le domaine à utiliser avec session_cookie. Par défaut, rien du tout.
session.cache_limiter spécifie le contrôle du cache, à utiliser avec les pages de session (nocache/private/public). Par défaut, nocache.
session.cache_expire spécifie la durée de vie des pages de session cachées, en minutes, mais sans que cela ait d'effets sur le limiteur "nocache". Par défaut, 180.
session.use_trans_sid indique si le support du SID est activé ou pas, lors de la compilation avec l'option --enable-trans-sid. Par défaut, elle vaut 1 (activée).
url_rewriter.tags spefifies which html tags are rewritten to include session id if transient sid support is enabled. Defaults to a=href,area=href,frame=src,input=src,form=fakeentry

Note : La gestion des sessions a été ajoutée en PHP 4.0.

Table des matières
session_cache_expire -- Return current cache expire
session_cache_limiter -- Lit et/ou modifie le limiteur de cache
session_decode -- Décode les données de session à partir d'une chaîne
session_destroy -- Détruit toutes les données enregistrées d'une session
session_encode -- Encode les données de session dans une chaîne
session_get_cookie_params -- Lit les paramètres du cookie de session
session_id -- Affecte et/ou retourne l'identifiant de session courante
session_is_registered -- Indique si une variable a été enregistrée dans la session ou pas
session_module_name -- Affecte et/ou retourne le module courant de session courante
session_name -- Affecte et/ou retourne le nom de la session courante
session_readonly -- Lit les variables de session sans verrouiller les données
session_register -- Enregistre une variable dans la session courante
session_save_path -- Affecte et/ou retourne le chemin de sauvegarde de la session courante
session_set_cookie_params -- Modifie les paramètres du cookie de session
session_set_save_handler -- Définit les fonctions utilisateurs de stockage des sessions
session_start -- Initialise les données de session
session_unregister -- Supprime une variable dans la session courante
session_unset -- Détruit toutes les variables de session
session_write_close -- Write session data and end session