session对象

研究一级缓存需要理解的问题： /** * 1. 一级缓存的生命周期 * 一级缓存在 Session 中存放，只要创建 session ，一级缓存就存在了。 * 当关闭 Session 的时候，一级缓存就不存在了。 * 2. 一级缓存依赖于谁存在 * 依赖于 session 存在。 * 3. 怎么样把数据存放到一级缓存中 * 利用 session.get 、 update 、 save 方法 * 4. 怎么样从一级缓存中获取数据 * 利用 session.get 方法 * 5. 怎么样将一级缓存的数据同步到数据库 * 只要是一个持久化状态的数据，那它一定在一级缓存中 * 利用 session.flush 方法 * 6. 怎么样将数据库中的数据同步到一级缓存 * session.refresh 方法 : 只能同步一个对象 * 7. 一级缓存的特性 * 也叫 session 级别的缓存。 * session 中存放私有数据。 * 可以通过新建 session 和从当前线程中获取 session 来保证数据的安全性。 * 8. 从一级缓存中清除某个对象 * session.evcit 方法、并且将一个对象从持久化状态转换成脱管状态。 * 9. 清空一级缓存中所以的数据 * session.clear 方法 */ session.save() 方法 可以将一个对象变成持久化对象

一、flask session简介 flask中session组件可分为内置的session组件还有第三方flask-session组件，内置的session组件缺点： 功能单一 session是保存在浏览器中的cookie中，不安全， 大小有限制 而第三方插件flask-session可支持redis、memcached、文本等session的存储。 二、内置session处理机制 Cookie与Session 我们回顾一下cookie和session知识 Cookie Cookie意为“甜饼”，是由W3C组织提出，最早由Netscape社区发展的一种机制。目前Cookie已经成为标准，所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份。怎么办呢？就给客户端们颁发一个通行证吧，每人一个，无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。 Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie

flask_session是flask框架实现session功能的一个插件，用来替代flask自带的session实现机制。 配置参数详解 SESSION_COOKIE_NAME 设置返回给客户端的cookie的名称，默认是“session”;放置在response的头部； SESSION_COOKIE_DOMAIN 设置会话的域，默认是当前的服务器，因为Session是一个全局的变量，可能应用在多个app中； SESSION_COOKIE_PATH 设置会话的路径，即哪些路由下应该设置cookie，如果不设置，那么默认为‘/’，所有的路由都会设置cookie； SESSION_COOKIE_HTTPONLY cookie应该和httponly标志一起设置，默认为True，这个一般采用默认。 SESSION_COOKIE_SECURE cookie是否和安全标志一起设置，默认为false，这个一般采用默认。 PERMANENT_SESSION_LIFETIME 设置session的有效期，即cookie的失效时间，单位是s。这个参数很重要，因为默认会话是永久性的。 SESSION_TYPE 设置session保存的位置，可以有多种配置， SESSION_TYPE = ‘null’ : 采用flask默认的保存在cookie中； SESSION_TYPE = ‘redis’ :

在前后端分离开发时为什么需要用户认证呢？原因是由于HTTP协定是不储存状态的(stateless)，这意味着当我们透过帐号密码验证一个使用者时，当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁，就要再验证一次。所以为了保证系统安全，我们就需要验证用户否处于登录状态。 传统方式 前后端分离通过Restful API进行数据交互时，如何验证用户的登录信息及权限。在原来的项目中，使用的是最传统也是最简单的方式，前端登录，后端根据用户信息生成一个 token ，并保存这个 token 和对应的用户id到数据库或Session中，接着把 token 传给用户，存入浏览器 cookie，之后浏览器请求带上这个cookie，后端根据这个cookie值来查询用户，验证是否过期。 但这样做问题就很多，如果我们的页面出现了 XSS 漏洞，由于 cookie 可以被 JavaScript 读取，XSS 漏洞会导致用户 token 泄露，而作为后端识别用户的标识，cookie 的泄露意味着用户信息不再安全。尽管我们通过转义输出内容，使用 CDN 等可以尽量避免 XSS 注入，但谁也不能保证在大型的项目中不会出现这个问题。 在设置 cookie 的时候，其实你还可以设置 httpOnly 以及 secure 项。设置 httpOnly 后 cookie 将不能被 JS 读取

在前后端分离开发时为什么需要用户认证呢？原因是由于HTTP协定是不储存状态的(stateless)，这意味着当我们透过帐号密码验证一个使用者时，当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁，就要再验证一次。所以为了保证系统安全，我们就需要验证用户否处于登录状态。 传统方式 前后端分离通过Restful API进行数据交互时，如何验证用户的登录信息及权限。在原来的项目中，使用的是最传统也是最简单的方式，前端登录，后端根据用户信息生成一个 token ，并保存这个 token 和对应的用户id到数据库或Session中，接着把 token 传给用户，存入浏览器 cookie，之后浏览器请求带上这个cookie，后端根据这个cookie值来查询用户，验证是否过期。 但这样做问题就很多，如果我们的页面出现了 XSS 漏洞，由于 cookie 可以被 JavaScript 读取，XSS 漏洞会导致用户 token 泄露，而作为后端识别用户的标识，cookie 的泄露意味着用户信息不再安全。尽管我们通过转义输出内容，使用 CDN 等可以尽量避免 XSS 注入，但谁也不能保证在大型的项目中不会出现这个问题。 在设置 cookie 的时候，其实你还可以设置 httpOnly 以及 secure 项。设置 httpOnly 后 cookie 将不能被 JS 读取

对比起 Cookie ，Session 是存储在服务器端的会话，相对安全，并且不像 Cookie 那样有存储长度限制，本文简单介绍 Session 的使用。 由于 Session 是以文本文件形式存储在服务器端的，所以不怕客户端修改 Session 内容。实际上在服务器端的 Session 文件，PHP 自动修改 Session 文件的权限，只保留了系统读和写权限，而且不能通过 ftp 修改，所以安全得多。 对于 Cookie 来说，假设我们要验证用户是否登陆，就必须在 Cookie 中保存用户名和密码（可能是 md5 加密后字符串），并在每次请求页面的时候进行验证。如果用户名和密码存储在数据库，每次都要执行一次数据库查询，给数据库造成多余的负担。因为我们并不能 只做一次验证。为什么呢？因为客户端 Cookie 中的信息是有可能被修改的。假如你存储 $admin 变量来表示用户是否登陆，$admin 为 true 的时候表示登陆，为 false 的时候表示未登录，在第一次通过验证后将 $admin 等于 true 存储在 Cookie，下次就不用验证了，这样对么？错了，假如有人伪造一个值为 true 的 $admin 变量那不是就立即取的了管理权限么？非常的不安全。 而 Session 就不同了，Session 是存储在服务器端的，远程用户没办法修改 Session 文件的内容

php和JavaScript，掌握JavaScript基础，自定义函数，流程控制语句，事件，调用JavaScript脚本，在PHP中使用JavaScript。 JavaScript是网景公司开发的，是一种基于对象和事件驱动并具有安全性能的解释型脚本语言。 JavaScript基础，数据类型，变量，注解 数据类型，unll，undefined，对象型，布尔型，数值型，字符串型。 变量，指在程序中已经存在的命名存储单元，存放信息的容器。 abstract, continue, finally, instanceof, private, this class, final, in, package, synchronized, with char, false, import, null, switch, while catch, extends, implements, new, super, void case, else, goto, native, static, var byte, double, function, long, short, true break, do, for, interface, return, typeof boolean, default, float, int, public, throw 自定义函数 function 函数名([参数]){

php的会话控制，什么是会话控制，http等。 什么是会话控制思想，http协议。 cookie 和 session http是超文本传输协议，是网络上最广泛的一种网络协议。 http最大特点是无连接无状态，clinet到http request到server，server到http response到clinet。 建立一个连接，连接完结束了。 cookie保存在客户端中，内存中的cookie，由浏览器维护，保存在内存中，浏览器关闭后就没了，保存在硬盘中的 cookie，有一个过期时间，除非手动清除和过期时间过了。 cookie使用场景 Cookie：达成服务器和浏览器之间长久连接的状态。 浏览器的cookie以小文件的形式保存在客户端中。 作用：长期登录，购物车。 设置cookie: bool setcookie($name,$value,$expire,$path,$domain,$secure,$httponly); $expire:默认为0s。time() 认识COOKIE？ 1.cookie是存储在客户端中的，至于怎么存储，存储的文件是什么这和服务器没有关系，和客户端有关系。 2.COOKIE过期了，也是客户端来判断要不要传递给服务器，如果过期了就删除对应的COOKIE文件。用户也可以手动的清理COOKIE，那么之前保存的COOKIE就全部不见了 3

http://drops.wooyun.org/papers/1449 原文链接：http://www.mehmetince.net/codeigniter-object-injection-vulnerability-via-encryption-key/ 0x00 背景 大家好，Codeigniter 是我最喜爱的PHP框架之一。和别人一样，我在这个框架中学习了PHP MVC编程。今天，我决定来分析一下Codeigniter的PHP 对象注入漏洞。 我在接下来的叙述中会把重点放在Codeigniter的Session会话机制上。所有我将会分析的method方法都在 CodeIgniter/system/libraries/Session.php 文件里。我在本研究过程中使用的是Codeigniter 2.1 版本。 0x01 Codeigniter Session会话机制 Codeigniter 使用PHP的序列化method方法来存储用户Session会话中的变量。但是Codeigniter Session会话机制并不像我们预期的那样工作。它把session会话的变量存在了客户端的cookie里面，大多数是在（服务器）硬盘上而不是用户COOKIE中。我不知道开发者们为什么这么设计。 下面的叙述摘自codeigniter的文档 The Session class stores

今日内容 会话技术 1. Cookie 2. Session JSP：入门学习 今日源码： 链接： https://pan.baidu.com/s/1Zx0ideJ6sco6nqm3Qu73lQ 提取码：ekdo 会话技术 会话：一次会话中包含多次请求和响应。 * 一次会话：浏览器第一次给服务器资源发送请求，会话建立，直到有一方断开为止 功能：在一次会话的范围内的多次请求间，共享数据 方式： 1. 客户端会话技术：Cookie 2. 服务器端会话技术：Session Cookie： 1. 概念：客户端会话技术，将数据保存到客户端 2. 快速入门： 使用步骤： 创建Cookie对象，绑定数据 * new Cookie(String name, String value) 发送Cookie对象 * response.addCookie(Cookie cookie) 示例代码： package cn . wbslz . cookie ; import javax . servlet . ServletException ; import javax . servlet . annotation . WebServlet ; import javax . servlet . http . Cookie ; import javax . servlet . http .