Pokud jste dávali pozor při sledování minulého dílu našeho seriálu, pravděpodobně jste zjistili, že cookies jsou relativně složité. Server je musí vygenerovat a poslat prohlížeči, který je následně posílá zase zpět na server. Nedalo by se něco takového dělat přímo na serveru, bez odesílání dat sem a tam? Ano, to by se dalo. Mechanismus, který takto funguje, nazýváme sessions.

Myšlenka sessions není nová a PHP rozhodně není první jazyk, který sessions podporoval. Ve skutečnosti jsou sessions v PHP podporovány až od verze 4.0. To v současné době už moc nevadí, většina serverů používá "čtyřkové" PHP. Jazyk PHP má práci se sessions docela propracovanou. Jak to celé funguje? Zjednodušeně řečeno je to takto:

• Jakmile PHP obdrží příkaz k započetí session, zjistí nejprve, zda již session neběží. Pokud ne vytvoří ji, pokud ano, připojí se k ní. PHP přidělí session identifikátor a vyhradí si někde místo pro ukládání tzv. session-proměnných.
• Od tohoto místa dále si můžete u libovolné proměnné zvolit, že bude součástí session, a server si pak její obsah pamatuje mezi stránkami.
• Session můžete kdykoli ukončit. Když to neuděláte, zruší se zavřením prohlížeče.

Asi si říkáte, jak server jednotlivé prohlížeče od sebe odliší. Je to jednoduché. Použije buďto cookie, o níž jsme mluvili minule, nebo předá identifikátor session jako parametr do url, o čemž jsme mluvili předminule. Rozdíly oproti předchozím dvěma způsobům předávání informací mezi stránkami jsou přitom zejména tyto:

• Nepřenášejí se všechny proměnné spojené s danou session, nýbrž jen jeden údaj - identifikátor samotné session.
• O celou věc se PHP stará naprosto automaticky (nemusíte tedy například měnit odkazy, abyste přenesli identifikátor session)
• Můžete si zvolit, kde budou proměnné vázané k session uloženy (v souboru na serveru, v databázi a podobně)

Předpokládám, že po tomto poněkud teoretickém úvodu se už těšíte na nějaké příklady v PHP. Nuže, pojďme na to.

Sessions a PHP

V PHP, jak už bylo řečeno, jsou od verze 4.0 sessions k dispozici v "základní výbavě" jazyka. To samozřejmě neznamená, že každý PHP skript spouští session. Abyste mohli začít pracovat v session, musíte to PHP oznámit pomocí příkazu session_start (). Typický skript využívající session vypadá tedy následovně:

Korektura: Sessions se od verze PHP 4.1.0 dají spouštět automaticky a volání příkazu session_start tak není nutné. Konfigurační direktiva session.auto_start ovlivňuje v tomto případě chování PHP. Více viz manuál.

Tedy, jakmile je session nastartována, můžeme prohlásit, že proměnná "promenna" je od této chvíle součástí session a je tudíž přístupná pomocí prvku "promenna" globálního asociativního pole $_SESSION. Takže libovolný další PHP skript na stejném serveru bude mít k této proměnné přístup, za předpokladu, že bude součástí session. Je samozřejmě možné mít zároveň i celou řadu proměnných, které nebudou součástí session a které při ukončení skriptu zmizí v propadlišti dějin.

Teď je ten správný čas přepsat naše dva skripty vyměňující si informace do tvaru, kdy budou moci použít session. Bude to vypadat takto:

Spustit skript

Celý skript jsme již komentovali minule; nové je jen použití session. Rovněž zde je třeba si uvědomit, že session musí být nastartována předtím, než je jakýkoli výstup odeslán prohlížeči; to je kvůli hlavičkám. Ve skutečnosti vám příklad v závislosti na nastavení vašeho prohlížeče nemusí fungovat. V úvodu jsem tvrdil, že identifikátor session je uložen buď v cookie, nebo si ho PHP přidává do url. Ten druhý způsob je ale méně bezpečný, a proto bývá někdy na serverech vypnut. Vypnut je i na Linuxsoftu. Pokud tedy zakážete přijímat cookies ze serveru www.linuxsoft.cz, nebude Vám výše uvedený příklad fungovat, protože PHP nemá šanci předat prohlížeči identifikátor session a tudíž ji nemůže použít.

Pozn.: V takovém případě se ani nepřihlásíte jako uživatel, protože samotný portál linuxsoft pracuje se sessions. Což si můžete ověřit, neb po přihlášení budete mít na svém počítači uloženou cookie obsahující identifikátor session.

Kde jsou data?

Data spojená s probíhající session jsou umístěna většinou v souboru na serveru, a to mimo kořenový adresář serveru. Pro představu: jestliže tedy spustíte výše uvedený příklad, vznikne na serveru soubor s přibližně tímto obsahem:

O veškerou režii v souvislosti s tímto souborem se stará PHP, takže to uvádím jen jako informaci pro lepší pochopení celého mechanizmu. PHP se například postará o "úklid" souboru po zrušení session a podobně.

V souvislosti s tím se sluší zmínit ještě jednu věc: PHP umí (a na většině serveru je toto povoleno) použít uživatelem definované zacházení s sessions. To znamená, že můžete "přebít" funkci, kterou PHP použije při správě session. Není vůbec neobvyklé ukládat si sessions do databáze MySQL; někteří vývojáři tvrdí, že to může zvýšit výkon skriptu nebo zabezpečení sessions. Můžete také napsat funkci, která data session šifruje. Tak či onak, vynikající příklad definice uživatelské správy sessions můžete najít například zde. Jedná se právě o uložení proměnných session do databáze MySQL.