[PHP] php세션(Session)

🤔 세션이란 뭔가요? 

 

세션(Session)은 웹 서버에 정보를 저장하고 사용자측에는 접근할 수 있는 키 값을 저장합니다.

그렇다면 쿠키는? 쿠키는 모든 정보가 사용자 측의 컴퓨터에 저장됩니다.

 

웹서버에 데이터가 저장되고 필요할 때마다 브라우저에서 키 값으로 서버에 요청을 합니다. 그리고 브라우저를 종료하는 시점에서 세션이 삭제되도록 설정이 가능해서 쿠키에만 데이터를 저장하는 것보다 보안성이 높습니다. 때문에 로그인과 같은 인증 처리에서 많이 사용됩니다.

 

세션은 주로 보이지 않는 데이터를 활용할 때 쓰입니다. 또한 휘발성 데이터로, 인터넷 창을 끄면 사라집니다. 

 

 

1. 세션 시작하기 😶

 

<?php
// 세션 시작
session_start();

 

php에서 session_start()를 사용하여 세션을 시작합니다.

사용자 정보가 웹 서버에 없을 경우 새로운 세션을 생성하고, 이미 세션이 생성되어 있다면 기존 세션을 사용합니다. 

 

( 쿠키의 값은 브라우저의 개발자 도구를 통해 확인할 수 있지만 세션의 값은 서버에 저장되는 것이기때문에 개발자 도구에서는 확인할 수 없습니다. )

 

php에서 세션을 생성하면 기본적으로 세션의 이름은 PHPSESSID로 저장됩니다. 이는 php 설정파일인 php.ini에서 변경이 가능합니다. 일시적 변경이 필요하다면 session_name('변경할 이름') 을 사용해 변경할 수 있습니다.

session_name()을 사용하려면 session_start()보다 위에 입력해야 오류없이 작동합니다. 

 

session_start() 함수를 같은 파일에서 여러 번 실행하게 된다면 이미 세션이 실행되었다는 알림을 출력하니

session_id() 함수를 사용하여 현재 생성된 세션이 있는지 확인한 후 세션을 시작하는 것이 좋습니다. 

( session_id() 함수는 발급된 세션 id가 있다면 id를, 없다면 false를 반환 )

 

<?php
// session_id()는 발급된 세션 id가 있다면 세션의 id를, 없다면 false를 반환하는 함수
if(!session_id()){
    // id가 없을 경우 세션 시작
    session_start();
}

 

 

2. 세션 변수 사용 😐

 

<?php
// 세션시작
session_start();

// 세션 변수 등록
$_SESSION['userNamer'] = '녜힝';
$_SESSION['userPw'] = '1234';

// 등록된 변수 사용
echo "userName 값: ".$_SESSION['userName']."<br/>";
echo "userPw 값: ".$_SESSION['userPw'];

세션을 사용하여 변수를 등록하려면 $_SESSION['변수명'] = data 형태로 사용하면 됩니다. 위 코드처럼 $_SESSION['userName'] = "녜힝"; 이라고 하면 userName이라는 세션 변수에 tester라는 값을 저장한다는 의미입니다.

 

등록된 세션 변수를 사용하는 것도 등록과 같습니다. $_SESSION['변수명'] 형태로 사용합니다. 그대로 쓰면 코드가 길어질 수 있으니 php 변수에 저장하여 사용하는 것이 편리합니다.  

 

 

3. 세션 변수 해제 🙂

 

<?php
// 세션 시작 
session_start();

// 세션 변수 등록
$_SESSION['userName'] = '녜힝';

// 등록된 변수 해제
unset($_SESSION['userName']);
echo "userName 값: ".$_SESSION['userName'];

 

등록된 변수를 해제하기 위해서는 unset()을 사용합니다. unset($_SESSION['변수명']) 형태로 입력하면 해당 변수가 등록이 해제되어 사용할 수 없게 됩니다. ( unset으로 해제한 후 변수를 호출하면 정의되지않음 에러가 발생하게 됩니다. )

만약 모든 변수의 등록을 해제하고 싶다면 session_unset() 함수를 사용하면 모든 변수의 등록이 해제됩니다.

세션을 완전히 종료하고 싶다면 session_destroy()를 사용하여 세션 파일과 브라우저의 쿠키를 삭제하여 세션이 종료됩니다.

 

 

4. 세션 변수 등록 확인 😊

 

<?php
// 세션 시작
session_start();

// 변수 등록
$_SESSION['userId'] = '';

// 변수 등록 여부 확인
if(!isset($_SESSION['userId'])) {
    $_SESSION['userId'] = 'data1';
    echo '새로운 변수 생성!';
} else {
    $_SESSION['userId'] = 'data2';
    echo '기존 변수 데이터 변경';
}

 

isset() 함수를 사용하면 해당 변수가 등록이 되어있는지 확인할 수 있습니다. isset($_SESSION['변수명']) 형태로 사용하며 만약 해당 변수가 등록이 되어있다면 true를, 등록이 되어있지 않다면 false를 반환합니다. 

 

위 코드는 변수가 생성되지 않았다면 data1을, 생성이 되어있다면 data2를 저장하고 변수의 값을 출력하는 ㅗㅋ드입니다. 실행하게 되면 변수는 등록이 되어있으므로 data2가 출력이 되는 것을 확인할 수 있습니다.

 

 

5. 세션 id 변경 😄

 

php의 세션은 브라우저의 쿠키에 등록된 id를 사용하여 서버에 저장된 데이터에 접근합니다. 그래서 세션 id를 탈취당한다면 세션에 저장된 데이터들 또한 탈취당할 위험이 높아집니다.

그래서 일반적으로 사용자의 인증정보에 변동(로그인 및 로그아웃), 설정 변경 등 중요한 변경사항이 있을 때 세션 id를 변경합니다. php에서는 session_regenerate_id() 함수를 사용하여 새로운 id를 발급받아 쿠키를 생성합니다. 

 

<?php
// 세션 시작
session_start();

// 현재 세션 id 확인
echo session_id();
echo '<br/><br/>';

// 세션 id 신규 발급
session_regenerate_id();

// 신규 발급된 id 확인
echo session_id();

 

session_regenerate_id() 함수의 기본 설정은 세션 id를 변경한 후 이전 세션 데이터를 삭제하지 않는 것입니다. id만 새로 발급하여 데이터를 복제하는 방식입니다. 그래서 서버에서 확인을 해보면 id는 다르지만 같은 데이터를 가지고 있는 세션 파일이 확인됩니다.

 

이전 데이터를 지우고 싶다면 session_regenerate_id(true) 형식으로 파라미터를 사용하여 이전 세션 데이터를 삭제하도록 해야합니다. 이렇게 하면 새로운 id가 발급되고 이전의 세션은 완전히 삭제됩니다.

 

 

6. 세션 종료하기 😁

 

기본적으로 php의 세션을 브라우저가 연결을 끊고 일정시간이 지나면 세션 데이터가 저장된 파일을 삭제하는 것으로 완전히 종료가 됩니다. 

그러나 사용자의 요청으로 세션을 종료하는 것으로 로그아웃 기능을 만들 때에는 직접 세션을 종료시켜야 합니다. 그럴 때 사용하는 함수가 session_destroy() 함수 입니다.

 

<?php
// 세션 데이터에 접근하기 위해 세션 시작
if (!session_id()) {
    session_start();
}

// 세션 데이터를 빈 배열로 초기화
$_SESSION = array();
// 또는 session_unset(); 사용

// 세션 id 값이 저장되어 있는 쿠키를 삭제
if (ini_get("session.use_cookies")) {
	$params = session_get_cookie_params();
    setcookie(
        session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}

// 세션 파일 삭제
session_destory();

 

php 공식문서에 따르면 session_destroy() 함수는 현재 세션의 모든 데이터를 파괴하는 함수이다. 즉, 세션의 데이터가 저장되어 있는 파일 자체를 삭제하는 것이다.

 

그러나 단지 세션 파일을 삭제하는 것이지, 세션 id 값이 있는 쿠키는 그대로 남아있게 됩니다. 그래서 setcookie()함수를 사용해 세션 id가 저장된 쿠키를 강제로 만료시켜 삭제해줘야 합니다.

 

또한 $_SESSION 변수에 빈 배열을 넣는 이유도 같습니다. session_destroy() 함수가 $_SESSION 변수까지 해제하는 것이 아니기 때문에 빈 배열을 넣어 초기화시켜주는 것입니다. session_unset() 함수를 사용해도 같은 동작을 실행합니다.