session

PHPLIB還可以做很多別的事情，例如數(shù)據(jù)庫類。本篇文章只是對PHPLIB的簡單介紹。有很多類和功能都沒有提到。你可以到http://phplib.netuse.de去獲取更多的幫助文檔
---------------------------------------------------------------------
測試環(huán)境:標(biāo)準(zhǔn)環(huán)境

　　首先要說明一個事實，用Web頁面設(shè)計需要保存客戶當(dāng)前狀態(tài)的程序時極為不便，例如在線Shopping，作為一名程序員，你必須時時面對在各個主頁之間傳遞的狀態(tài)參數(shù)?？蛻舻纳矸菡J(rèn)證、他已做出的選擇、他當(dāng)前的狀態(tài)等等，Web主頁并不會替你保存這些狀態(tài)信息，你必須自己小心處理這些參數(shù)，這給我們帶來了太多的不便，利用 http://url?var1=x1&var2=x2 來在主頁間傳送參數(shù)實在太危險，尤其是變量中包含用戶注冊信息時很容易被sniff，那么，我們?nèi)绾谓鉀Q這個問題呢？

　　PHPLIB解決了這個問題，它是在PHP3上的一個擴展，提供了很多類庫，使得程序員能很容易地建立一個交互式Web站點，PHPLIB最基本的功能包括用戶認(rèn)證，Session管理，權(quán)限及數(shù)據(jù)庫的抽象化。

　　安裝PHPLIB前你必須在你的服務(wù)器上先安裝好php3，PHPLIB可以運行在Cgi方式或apache附加模塊方式。PHP3的版本必須時在3.0.5之上，PHP3早期版本可以在編譯時使用參數(shù) --enable-foce-cgi-redirect來獲得支持，如果不這么做的話，會出現(xiàn)安全問題。PHP3的配置中 track_vars 需要設(shè)置為 enabled。同時需要一個數(shù)據(jù)庫，PHPLIB支持MySQL、Oracle、ODBC、PostgreSQL、Sybase。

　　第一步，PHPLIB的類庫需要根據(jù)系統(tǒng)進(jìn)行初始化，你可以修改local.inc文件，其中包含著一些基本參數(shù)，你可以根據(jù)自己機器的情況來進(jìn)行修改。

　　我們說明一下PHPLIB的工作原理，每一個使用PHPLIB的頁面首先必須可以找到運行PHPLIB的必須類庫文件，我們可以在php3.ini中設(shè)置auto_prepend變量來支持，PHPLIB分發(fā)包中包含一個prepend.php3文件，將auto_prepend指定為prepend.php3后，各頁面就會自動包含PHPLIB類庫，我們還可以將PHPLIB類庫所在目錄加進(jìn)include變量中，以便可以找到這些文件，當(dāng)然，最苯的辦法就是指定絕對路徑，這可不是個好主意！

第二步，每一個使用PHPLIB的頁面中，你必須使用函數(shù)page_open進(jìn)行初始化。這會告訴PHPLIB，你現(xiàn)在或?qū)頃玫綘顟B(tài)保存。一個典型的page_open例子包含到了認(rèn)證、Session、權(quán)限：

page_open(array( "sess" => "Cms_Session", "auth" => "Cms_Auth", "perm" => "Cms_Perm"));
?>

　　數(shù)組變量(sess,auth,perm)用來初始化一些狀態(tài)保存對象，注意：必須使用PHPLIB內(nèi)置名(sess,auth,perm)，這些內(nèi)置名是你在local.ini中所定義的，page_open函數(shù)必須在頁面內(nèi)容輸出到瀏覽器之前被調(diào)用。（如果你將來不會用到認(rèn)證的話，可以不初始化sess），php3腳本最后應(yīng)以page_close()結(jié)束，這將會將有關(guān)狀態(tài)數(shù)據(jù)寫回到數(shù)據(jù)庫中，如果你忘了的話，將會，哈哈哈。。。

　　因為PHPLIB使用了Cookies來保存狀態(tài)信息，所以page_open()函數(shù)必須在頁面內(nèi)容輸出到瀏覽器之前被調(diào)用， 這里的頁面內(nèi)容可以是任何HTML信息或者空行，如果你發(fā)現(xiàn)了錯誤"Oops - SetCookie called after header has been sent"，這表明在page_open()之前向瀏覽器輸出了些什么，你要特別留意空行，因為非常難找到，典型的錯誤是在標(biāo)記之間輸出了空行，你應(yīng)檢查在local.inc和prepend.php3文件中是否包含了空行，這也是一個非常容易出錯的地方。

　　PHP使用了一種比基本認(rèn)證方法更為復(fù)雜的架構(gòu)，這使得安全有了更好的保證。

　　舉例來說，對于你想要限制訪問的頁面，會首先使用page_open來調(diào)用"auth" => "auth_class" ，初始化認(rèn)證狀態(tài)對象后，狀態(tài)就會被保存起來，隨后當(dāng)客戶再訪問別的頁面的時候，認(rèn)證系統(tǒng)就會首先檢測用戶的身份是否已經(jīng)經(jīng)過認(rèn)證。

　　讓我們解釋一下，當(dāng)一個用戶第一次訪問頁面時，他的身份未經(jīng)過認(rèn)證，PHPLIB會調(diào)用一個注冊窗口（并非在WINDOWS中的彈出窗口），你可以自己設(shè)計注冊窗口的樣式，當(dāng)用戶輸入他的用戶名與口令，并按下提交鈕后，身份認(rèn)證工作就開始了，隨后的情況有些復(fù)雜，讓我們慢慢解釋……

　　這里分兩種情況，如果用戶的瀏覽器不能兼容JavaScript的話，認(rèn)證工作就象詢問嫌疑犯一樣，用戶名與口令被送往服務(wù)器，與存放在那里的數(shù)據(jù)進(jìn)行比較。如果用戶的瀏覽器與JavaScript兼容，這就麻煩一些了，PHPLIB首先會在客戶端的頁面中放入一個用來加密的種子字串，名叫“challenge”，當(dāng)用戶提交該頁面時，用戶的用戶名、口令和challenge字串會使用md5的加密方式進(jìn)行加密，生成一個加密字串，將該加密字串與用戶名提交給服務(wù)器。當(dāng)服務(wù)器收到用戶名和加密后的字串后，他根據(jù)數(shù)據(jù)庫中的用戶名與口令和得到的種子進(jìn)行md5運算，將生成的字串與用戶提交的字串進(jìn)行比較，如果符合的話，說明用戶身份是正確的，就允許用戶進(jìn)行隨后的訪問。這種方法的好處是：用戶不用提交密碼，這使得認(rèn)證比較安全。

　　Session 管理
　　其實Session的管理和身份認(rèn)證非常接近，當(dāng)一個用戶的身份認(rèn)證過了后，隨即用戶的session就開始了，如果用戶的瀏覽器支持cookie的話，將會建立一個session的id放入cookie，這個唯一的ID是由PHP3隨機生成，然后又用隨機種子
字串進(jìn)行md5加密過了的，這里的cookie應(yīng)該叫做session cookie，因為這個cookie是不會寫到用戶硬盤里去的，當(dāng)一個session進(jìn)行完的時候，該cookie也被完結(jié)了。如果用戶瀏覽器不支持cookie的話，那么 該session的id將會放入url鏈中，因為是加密過的，所以竊取了也沒用。session id存放著用戶的有關(guān)信息，如用戶已認(rèn)證、認(rèn)證到期時間、用戶權(quán)限，和其他一些你可能需要的信息，方便我們?nèi)∮谩?

　　Session其實就是用戶一次會話的過程。Session的管理并不是僅僅用來跟蹤用戶的注冊，實際上，它還可以脫離認(rèn)證來使用，你可以用它來存儲任何你想要存貯的信息，這些信息可以在用戶隨后訪問的頁面中派上用場，當(dāng)然前提是那些頁面要使用PHPLIB。方法很簡單，注冊一個變量后即可在隨后的頁面中使用它，直至session結(jié)束。方法：

register( "variable_name"); ?>

　　注意，這里的variable_name不是變量值，而是變量名，可以先指定變量名，隨后再賦值。你在某個頁面中可以改變變量的值，隨后的頁面訪問該變量時會得到改變后的值。變量的類型是多樣的，可以是一個字串，一個數(shù)字，一個數(shù)組，甚至一個對象。舉例來說明：

$sess->register( "first");
if (check($firstname)) {
$first = $firstname;
}
?>

　　注意：這里有一點很重要。你可以先注冊一個變量隨后再對它賦值，這樣非常有效，我們大可以在腳本的任何地方定義變量而不賦值，而在隨后的頁面中再賦值，這樣方便集中定義變量。大家可能注意到了，上面的例子中我們沒有簡單的對變量賦值，處于安全的考慮，你不應(yīng)該輕率地將表單數(shù)據(jù)放入變量。上例中，我們對變量進(jìn)行了檢查，然后才對變量賦值。這是一個很好的習(xí)慣。大家應(yīng)該注意。

　　注冊完一個變量，當(dāng)頁面最后調(diào)用page_close()函數(shù)后，各個session變量會被寫回到數(shù)據(jù)庫中，如果你忘記調(diào)用page_close()函數(shù)的話，變量就不會被寫回數(shù)據(jù)庫，將出現(xiàn)不可予知的后果。當(dāng)變量被使用完畢后，你不在需要用到了，可以調(diào)用以下函數(shù)將變量刪除：

$sess->unregister( "variable_name");
?>

　　PHPLIB 7.0中，使用了一種存儲結(jié)構(gòu)，它允許你存儲session數(shù)據(jù)到數(shù)據(jù)庫中、共享內(nèi)存中或者LDAP中。PHPLIB使用了數(shù)據(jù)庫類，這使得你有了更多的選擇。

　　權(quán)限管理
　　權(quán)限是和認(rèn)證分不開的。當(dāng)一個用戶的身份被確認(rèn)以后，你可以接著來確定他的級別及權(quán)限。當(dāng)然，你必須先調(diào)用page_open來初始化"perm"對象。檢查用戶權(quán)限的命令如下：

$perm->check( "permission_level");
?>

　　這條命令會檢查用戶是否符合你指定的級別，指定的級別應(yīng)在local.inc文件中已經(jīng)定義好，你可以自己定義各種級別。如果用戶被檢查出不符合級別。則perm_invalid()函數(shù)自動被調(diào)用。你可以建立自己的perm_invalid函數(shù)。

　　以下是PHPLIB中檢查權(quán)限的另一種方法：

$perm->have_perm( "permission_level");
?>

　　have_perm與check函數(shù)不同，它只返回true或false，但并不退出腳本，這樣我們可以更好的控制程序流程。

if ($perm->have_perm( "guest"))
{ //do something; }
elseif ($perm->have_perm( "admin"))
{ //do something else; }
else { //yet something else; }
?>