PHP:
Cookies e Sessões
Programação de Servidores
Marx Gomes Van der Linden
Protocolo HTTP


O protocolo HTTP não tem conceito de
sessões.
Modelo simples de Requisição e Resposta.
http://marx.vanderlinden.com.br/
2
Protocolo HTTP


Tipicamente, vários usuários estão acessando
o servidor web ao mesmo tempo.
HTTP não define uma maneira direta de se
rastrear cada usuário e dar continuidade
individual às atividades de requisições
anteriores.
http://marx.vanderlinden.com.br/
3
Cookies



Um Cookie é um arquivo de texto que pode ser
criado pelo navegador, a pedido do servidor
web.
Cada cookie tem um conjunto de variáveis:
 nome=valor
Todo cookie é necessariamente associado ao
um site (ou domínio) que o criou e,
teoricamente, não pode ser acessado por
outros sites.
http://marx.vanderlinden.com.br/
4
Cookies


O cookie é reenviado automaticamente ao
servidor a cada nova visita à mesma página.
Um cookie pode conter uma data de expiração
(opcional)

Default: Cookie é apagado ao se fechar o
navegador.
http://marx.vanderlinden.com.br/
5
Cookies
http://marx.vanderlinden.com.br/
6
Cookies
http://marx.vanderlinden.com.br/
7
Cookies
http://marx.vanderlinden.com.br/
8
Usos de Cookies

Armazenar itens no "carrinho de compras".

Armazenar informações de autenticação.

Guardar configurações do usuário.

Permitir continuidade no uso de uma aplicação
web.
http://marx.vanderlinden.com.br/
9
setcookie


Para incluir na resposta HTTP uma solicitação
para que o navegador crie um cookie, basta
utilizar a função setcookie.
Sintaxe (simplificada):
 setcookie($nome, $valor)

Returna true em caso de sucesso, false em
caso de erro.
http://marx.vanderlinden.com.br/
10
setcookie


Deve ser usado antes de enviar qualquer dado
pertencente ao corpo da mensagem! (inclusive
espaços em branco).
Não há garantias de que o navegador vai
aceitar o cookie.
http://marx.vanderlinden.com.br/
11
pagina1.php
<?php
$b = setcookie('nome',
'Milhouse Van Houten');
?>
<html>
<head>
<title>Cookies, página 1</title>
</head>
<body><?php
if($b)
echo "Cookie enviado com sucesso";
else
echo "Erro ao enviar o cookie.";
?></body>
http://marx.vanderlinden.com.br/
</html>
12
Requisição HTTP
GET /exemplo/pagina1.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; U; Linux i686;
pt-BR; rv:1.9.0.1) Gecko/2008072820
Firefox/3.0.1
Accept:
text/html,application/xhtml+xml,application/x
ml;q=0.9,*/*;q=0.8
Accept-Language: pt-br,pt;q=0.8,enus;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset:
ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
http://marx.vanderlinden.com.br/
13
Connection: keep-alive
Resposta HTTP (Cabeçalho)
HTTP/1.x 200 OK
Date: Fri, 19 Sep 2008 21:01:36 GMT
Server: Apache/2.2.8 (Ubuntu)
PHP/5.2.4-2ubuntu5.3 with Suhosin-Patch
X-Powered-By: PHP/5.2.4-2ubuntu5.3
Set-Cookie: nome=Milhouse+Van+Houten
Content-Length: 107
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
http://marx.vanderlinden.com.br/
14
Saída
<html>
<head>
<title>Cookies, página 1</title>
</head>
<body>Cookie enviado com sucesso</body>
</html>
http://marx.vanderlinden.com.br/
15
$_COOKIE


O interpretador PHP automaticamente organiza
os cookies enviados pelo usuário ao servidor,
através do array $_COOKIE.
Formato:
 $_COOKIE[$nome] // retorna $valor
http://marx.vanderlinden.com.br/
16
pagina2.php
<html>
<head>
<title>Cookies, página 2</title>
</head>
<body>
<?php
if(isset($_COOKIE['nome']))
echo "Seu nome é $_COOKIE[nome].";
else
echo "Eu não sei o seu nome.";
?>
</body></html>
http://marx.vanderlinden.com.br/
17
RequisiçãoHTTP/1.1
HTTP
GET /exemplo/pagina2.php
Host: localhost
User-Agent: Mozilla/5.0 (X11; U; Linux i686;
pt-BR; rv:1.9.0.1) Gecko/2008072820
Firefox/3.0.1
Accept:
text/html,application/xhtml+xml,application/x
ml;q=0.9,*/*;q=0.8
Accept-Language: pt-br,pt;q=0.8,enus;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset:
ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: nome=Milhouse+Van+Houten
http://marx.vanderlinden.com.br/
18
Cache-Control: max-age=0
Resposta HTTP (Cabeçalho)
HTTP/1.x 200 OK
Date: Fri, 19 Sep 2008 21:07:02 GMT
Server: Apache/2.2.8 (Ubuntu)
PHP/5.2.4-2ubuntu5.3 with Suhosin-Patch
X-Powered-By: PHP/5.2.4-2ubuntu5.3
Content-Length: 112
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
http://marx.vanderlinden.com.br/
19
Saída
<html>
<head>
<title>Cookies, página 2</title>
</head>
<body>
Seu nome é Milhouse Van
Houten.</body></html>
http://marx.vanderlinden.com.br/
20
Cookies como arrays

Para armazenar no cliente um cookie que será
lido como um array, basta utilizar a notação de
arrays.
setcookie("valor[nome]", "Bill");
setcookie("valor[sobrenome]", "Gates");
setcookie("valor[empresa]", "Microsoft");
http://marx.vanderlinden.com.br/
21
Cookies como arrays

Depois, é possível usar o resultado do cookie
recebido de volta como um array comum.
if (isset($_COOKIE['valor'])) {
foreach (
$_COOKIE['valor'] as $indice => $valor
)
echo "$indice: $valor <br>\n";
}
nome: Bill <br>
sobrenome: Gates <br>
empresa: Microsoft
<br>
http://marx.vanderlinden.com.br/
22
Tempo de expiração


Para evitar que o cookie seja excluído quando
o navegador for fechado, é necessário
especificar um tempo de expiração.
Sintaxe completa:
 setcookie($nome, $valor,
[$dataexpira], [$caminho],
[$domínio])

Se $dataexpira não for especificado ou
igual a 0, será excluído quando se fechar
o navegador
http://marx.vanderlinden.com.br/
23
Tempo de expiração

Cookie que expira em 1 hora:
setcookie(
'login','milhouse', time() + 60*60

Cookie que expira em 1 dia:
setcookie(
'login','krusty', time() + 60*60*24

);
);
Cookie que expira do dia 12 de outubro de
2010
setcookie(
'login','flanders',
http://marx.vanderlinden.com.br/
mktime(12,0,0, 10,12,2010)
);
24
Diretório de aplicação do Cookie

O terceiro parâmetro de setcookie serve
para especificar a partir de que diretório, na
estrutura de arquivos do servidor web, o cookie
deve ser aplicado.

Padrão: apenas diretório atual

'/' → Domínio inteiro
http://marx.vanderlinden.com.br/
25
Diretório de aplicação do Cookie

Cookie válido para todo o domínio
setcookie('login','burns', 0, '/' );


www.exemplo.com

www.exemplo.com/dir1/springfield
Cookie válido para um diretório
setcookie('login','barney',
time()+60*60, '/moe' );


www.exemplo.com/moe
http://marx.vanderlinden.com.br/
www.exemplo.com/moe/tavern
26
Domínio de aplicação do Cookie

Por padrão os cookies só são enviados para
sites que tenham exatamente o mesmo
domínio (incluindo subdomínio)


www.exemplo.com ≠ meusite.exemplo.com
O quarto parâmetro indica para que partes do
domínio da URL o cookie deverá ser enviado.

Não é possível especificar um domínio diferente
daquele do site que registra o cookie!
http://marx.vanderlinden.com.br/
27
Domínio de aplicação do Cookie

Cookie válido para todo o domínio
setcookie('login','burns', 0,
'/', '.exemplo.com' );

www.exemplo.com

www.exemplo.com/dir1/springfield

meusite.exemplo.com/shelbyville
http://marx.vanderlinden.com.br/
28
Excluindo um cookie


Para excluir um cookie, basta passar um novo
cookie com exatamente os mesmos
parâmetros já passados, mas valor igual à
string vazia.
Criando:
setcookie('login','burns', 0, '/' );

Excluindo:
setcookie('login','', 0, '/' );
http://marx.vanderlinden.com.br/
29
Características dos Cookies

Todas as informações ficam armazenadas no
cliente.
O servidor não tem um controle preciso de
que cookies estão armazenados para cada
usuário.
 Todas os dados precisam ser repassados
novamente a cada requisição HTTP feita
pelo cliente.
Cookies podem ser desativados, excluídos e
modificados pelo cliente.


http://marx.vanderlinden.com.br/
30
Sessões

PHP fornece um mecanismo de sessões.

Quase todos os dados ficam armazenados no
servidor.
http://marx.vanderlinden.com.br/
31
Sessões




Quando a sessão inicia, o servidor gera um ID,
que é uma string alfanumérica aleatória única
(PHPSESSID) para identificar o cliente.
O cliente armazena a ID como um cookie.
Em todas as requisições seguintes, o cliente
envia ao servidor apenas o cookie referente ao
seu ID.
A partir dos IDs, o servidor identifica e
diferencia cada cliente.
http://marx.vanderlinden.com.br/
32
session_start()



Para iniciar (ou continuar) uma sessão, basta
usar a função session_start
Sintaxe:
session_start()


Deve ser usado antes de qualquer saída do corpo
da mensagem
Sempre returna true
http://marx.vanderlinden.com.br/
33
$_SESSION

Para ler e configurar variáveis de sessões,
utiliza-se o array $_SESSION.

Não há análogo em sessões à função
setcookie.
http://marx.vanderlinden.com.br/
34
exemplo.php
<?php session_start(); ?>
<html>
<head>
<title>Sessões</title>
</head>
<body>
<?php
if(!isset($_SESSION['visitas']))
$_SESSION['visitas'] = 0;
?>
Esta é a sua visita número
<?php echo $_SESSION['visitas']++ ?>.
</body>
</html>
http://marx.vanderlinden.com.br/
35
1a Requisição HTTP
GET /delme/exemplo.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; U; Linux i686;
pt-BR; rv:1.9.0.1) Gecko/2008072820
Firefox/3.0.1
Accept:
text/html,application/xhtml+xml,application/x
ml;q=0.9,*/*;q=0.8
Accept-Language: pt-br,pt;q=0.8,enus;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset:
ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
http://marx.vanderlinden.com.br/
36
Connection: keep-alive
1a Resposta HTTP (Cabeçalho)
HTTP/1.x 200 OK
Date: Fri, 19 Sep 2008 22:17:44 GMT
Server: Apache/2.2.8 (Ubuntu)
PHP/5.2.4-2ubuntu5.3 with Suhosin-Patch
X-Powered-By: PHP/5.2.4-2ubuntu5.3
Set-Cookie:
PHPSESSID=c7abd60716ef5c9df79f3788767aaec5;
path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, mustrevalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 110
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
http://marx.vanderlinden.com.br/
37
Content-Type: text/html
2a Requisição HTTP
GET /delme/exemplo.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ptBR; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1
Accept:
text/html,application/xhtml+xml,application/xml;
q=0.9,*/*;q=0.8
Accept-Language: pt-br,pt;q=0.8,enus;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie:
PHPSESSID=c7abd60716ef5c9df79f3788767aaec5
http://marx.vanderlinden.com.br/
38
Cache-Control: max-age=0
2a Resposta HTTP
HTTP/1.x 200 OK
Date: Fri, 19 Sep 2008 22:19:46 GMT
Server: Apache/2.2.8 (Ubuntu)
PHP/5.2.4-2ubuntu5.3 with Suhosin-Patch
X-Powered-By: PHP/5.2.4-2ubuntu5.3
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, mustrevalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 110
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
http://marx.vanderlinden.com.br/
39
session_set_cookie_params



É possível configurar os parâmetros do cookie
usado para armazenar o ID da sessão.
Sintaxe:
session_set_cookie_params(
$dataexpira, [$caminho],
[$domínio])

A sintaxe dos parâmetros é similar às da
função setcookie.
http://marx.vanderlinden.com.br/
40
session_name




A função session_name muda o nome do
cookie que identifica o código da sessão.
Deve ser chamado antes de session_start.
Sintaxe:
session_name($novonome)

Return true em caso de sucesso; false
em erro.
http://marx.vanderlinden.com.br/
41
session_id


Sintaxe:
session_id()

Retorna o ID da seção atual, ou '', caso não
haja sessão aberta.
http://marx.vanderlinden.com.br/
42
session_regenerate_id


Sintaxe:
session_regenerate_id()




Gera um novo ID para a sessão atual.
Envia uma novo requisição de Cookie ao cliente,
sem quebrar a sessão.
Precisa ser chamado antes de qualquer saída no
corpo da resposta HTTP.
Return true em caso de sucesso; false
em erro.
http://marx.vanderlinden.com.br/
43
Configurando sessões

Por padrão:


Uma sessão continua ativa caso seja
acessada pelo usuário ao menos 1 vez a
cada 24 minutos.
 Sessões não servem para armazenar
dados permanentes!
Cada vez que session_start é chamada,
há uma probabilidade de 1% de que o PHP
vai varrer todas as sessões ativas, e excluir
as que expiraram.
http://marx.vanderlinden.com.br/
44
ini_set

A função ini_set serve para mudar
temporariamente alguma configuração do PHP.

Sintaxe:

ini_set($variável, $novovalor)

Return true em caso de sucesso; false
em erro.
http://marx.vanderlinden.com.br/
45
session.gc_maxlifetime

Especifica o tempo (em segundos) máximo que
uma sessão deve durar, esperando pelo
usuário.

Padrão: 1440 (24 minutos).

Deve ser modificada antes de session_start()
ini_set('session.gc_maxlifetime', 600);
session_start( );
http://marx.vanderlinden.com.br/
46
session.gc_probability

Especifica a probabilidade (em %) de que o
PHP vai fazer a verificação e limpeza das
sessões expiradas, a cada chamada de
session_start.


Padrão: 1
Também deve ser modificada antes de
session_start
ini_set('session.gc_probability', 100);
session_start( );
http://marx.vanderlinden.com.br/
47
Segurança

Problema de segurança:


A ID da sessão pode ser interceptada por
alguém que esteja monitorando a rede.
Se outra pessoa usar a mesma ID para fazer
requisições ao servidor, pode fazer se
passar por outro usuário.
http://marx.vanderlinden.com.br/
48
Funções de Hash
http://marx.vanderlinden.com.br/
49
Funções de Hash

PHP implementa as funções de hash mais
comuns:
 md5($string)
 sha1($string)
 hash($algoritmo, $string)

(Função genérica que implementa vários
algoritmos)
http://marx.vanderlinden.com.br/
50
md5
echo md5("The book is on the table"),
" <br>\n";
echo md5("The book is on the table."),
" <br>\n";
0c29bf0f928decfbf91070fa4affb0c4 <br>
1f683fe1cd7977cdd056ddc25d6bd8f8 <br>
http://marx.vanderlinden.com.br/
51
$_SERVER


O array $_SERVER contém informações
fornecidas pelo servidor web, como
cabeçalhos, caminhos de arquivo e
configurações.
Os índices do array são fixos e seus valores
não podem ser modificados.
http://marx.vanderlinden.com.br/
52
$_SERVER

Exemplos:

'PHP_SELF' → Nome do script atual

'SERVER_ADDR' → Endereço IP do servidor

'SERVER_NAME' → Nome do servidor

'HTTP_USER_AGENT' → Configurações do cliente

'REMOTE_ADDR' → Endereço IP do cliente
http://marx.vanderlinden.com.br/
53
$_SERVER
$keys = array(
'PHP_SELF', 'SERVER_ADDR',
'SERVER_NAME', 'HTTP_USER_AGENT',
'REMOTE_ADDR',
);
foreach($keys as $k)
echo "$k: $_SERVER[$k]<br>\n";
PHP_SELF: /exemplo/exemplo.php<br>
SERVER_ADDR: 127.0.0.1<br>
SERVER_NAME: localhost<br>
HTTP_USER_AGENT: Mozilla/5.0 (X11; U; Linux
i686; pt-BR; rv:1.9.0.1) Gecko/2008072820
Firefox/3.0.1<br>http://marx.vanderlinden.com.br/
54
REMOTE_ADDR: 127.0.0.1<br>
Sessão Segura (1/2)
<?php session_start();
$md5 = md5( $_SERVER['HTTP_USER_AGENT'] .
$_SERVER['REMOTE_ADDR'] );
if (!isset($_SESSION['md5'])) {
session_regenerate_id();
$_SESSION['md5'] = $md5;
$msg = "Bem-vindo!<br>\n";
}
if ($_SESSION['md5'] != $md5) {
$_SESSION = array();
$_SESSION['md5'] = $md5;
$msg = "Erro! Por favor, faça o login
novamente.<br>\n";
}
else
http://marx.vanderlinden.com.br/
$msg .= "Continuando..."; ?>
55
Sessão Segura
<html>
<head><title>Sessões</title></head>
<body>
<?php echo $msg ?>
</body>
</html>
http://marx.vanderlinden.com.br/
56
Saída

Primeira execução:
OK!<br>
Continuando sessão

Execuções seguintes:
Continuando sessão

Tentativa de ataque:
Erro! Por favor, faça o login novamente.
http://marx.vanderlinden.com.br/
57
Download
  1. No category

13 - PHP: Cookies e Sessões

Sociologia Clássica e Educação - Universidade Castelo Branco

Sociologia Clássica e Educação - Universidade Castelo Branco

TDW-16-PHP-Session - Jean Carlo Mendes

TDW-16-PHP-Session - Jean Carlo Mendes

Modo de Produção

Modo de Produção

O Materialismo Histórico

O Materialismo Histórico

Marx no seu tempo. ORG. Francisco Martins Rodrigues

Marx no seu tempo. ORG. Francisco Martins Rodrigues

As bases do trabalho na Sociedade Moderna

As bases do trabalho na Sociedade Moderna

Sociologia Clássica e Educação - Universidade Castelo Branco

Sociologia Clássica e Educação - Universidade Castelo Branco

CARTA DE ENGELS A BLOCH Ssegundo a concepção

CARTA DE ENGELS A BLOCH Ssegundo a concepção

Document

Document

Aula05

Aula05