一個已知管用的方法是，使用session_set_save_handler，接管所有的session管理工作，一般是把session信息存儲到數(shù)據(jù)庫，這樣可以通過SQL語句來刪除所有過期的session，精確地控制session的有效期。這也是基于PHP的大型網(wǎng)站常用的方法。但是，一般的小型網(wǎng)站，似乎沒有必要這么勞師動眾。

php中的session生命周期

在PHP中，會話（session）生命周期由兩個主要因素控制：會話文件的存儲時間和會話cookie的過期時間。

會話文件的存儲時間： PHP會話數(shù)據(jù)通常存儲在服務(wù)器上的文件中。會話文件的存儲時間由php.ini配置文件中的session.gc_maxlifetime參數(shù)決定，默認(rèn)為1440秒（24分鐘）。這個參數(shù)表示會話文件在多長時間內(nèi)沒有被訪問后將被清除。你可以在代碼中使用session.gc_maxlifetime來獲取或修改這個值。

// 獲取當(dāng)前會話文件的存儲時間（以秒為單位）
$sessionLifetime = ini_get('session.gc_maxlifetime');

// 修改會話文件的存儲時間為30分鐘（1800秒）
ini_set('session.gc_maxlifetime', 1800);

在PHP中，會話（session）是一種記錄服務(wù)器與客戶端之間交互狀態(tài)的機制。會話的生命周期包括三個階段：開始、活動和終止。

1. 開始階段（session_start()）：會話開始于調(diào)用session_start()函數(shù)的時候。在這個階段，服務(wù)端會生成一個唯一的會話ID（Session ID），用來標(biāo)識用戶的會話信息。同時，會話數(shù)據(jù)會被存儲在服務(wù)器上，通常以文件或數(shù)據(jù)庫的形式。

2. 活動階段：一旦會話開始，客戶端在與服務(wù)器之間的交互中，可以通過會話ID來訪問和更新會話數(shù)據(jù)。在每次請求中，通過檢查會話ID，服務(wù)器可以將之前保存的會話數(shù)據(jù)恢復(fù)到當(dāng)前請求中。在活動階段，可以向會話中添加、刪除、修改數(shù)據(jù)。

3. 終止階段：會話的終止可以通過下面幾種方式來實現(xiàn)：
- 手動終止：調(diào)用session_destroy()函數(shù)銷毀當(dāng)前的會話，并清除會話數(shù)據(jù)。
- 超時終止：通過設(shè)置會話超時時間，一旦超過指定的時間沒有活動，會話將自動終止。
- 關(guān)閉瀏覽器終止：當(dāng)用戶關(guān)閉瀏覽器時，會話隨之終止。

下面是一個示例代碼，演示了如何使用PHP的會話機制：

<?php
// 開始會話
session_start();
 
// 向會話中添加數(shù)據(jù)
$_SESSION['username'] = 'John Doe';
$_SESSION['cart'] = ['item1', 'item2'];
 
// 輸出會話數(shù)據(jù)
echo 'Username: ' . $_SESSION['username'] . '<br>';
echo 'Cart: ' . implode(', ', $_SESSION['cart']);
 
// 銷毀會話
session_destroy();
?>

在這個示例中，調(diào)用session_start()函數(shù)開始了一個會話。然后，我們向會話中添加了`username`和`cart`兩條數(shù)據(jù)。最后，通過echo語句將會話數(shù)據(jù)輸出到頁面上。最后，調(diào)用session_destroy()函數(shù)手動銷毀了當(dāng)前的會話。

需要注意的是，為了正確使用會話，需要在每個使用會話數(shù)據(jù)的頁面的頂部調(diào)用session_start()函數(shù)。這樣才能確保會話數(shù)據(jù)的正確加載和保存。

php-session過期時間設(shè)置（設(shè)置免登陸過期時間）

今天用tp框架做一個登陸界面的時候，對于session的過期時間這個問題表費解，例如如何設(shè)置一個準(zhǔn)確的session過期時間。

通過自己看tp的官方文檔，里面只提到了兩個，但是這兩個一個是session.gc_maxlifetime ,一個是cookie.session_lifetime。但是：

1、session.gc_maxlifetime:session.gc_maxlifetime specifies the number of seconds after which data will be seen as 'garbage' and cleaned up. Garbage collection occurs during session start.(session.gc_maxlifetime指定數(shù)據(jù)在多少秒之后將被視為垃圾并清理掉。 垃圾收集發(fā)生在會話開始時。）

  垃圾收集器僅以session.gc_probability除以session.gc_divisor的概率開始。使用這些選項的默認(rèn)值（分別為1和100），機會僅為1％。那么，你可以簡單地調(diào)整這些值，以便更頻繁地啟動垃圾收集器。但是當(dāng)垃圾回收器啟動時，它會檢查每個注冊會話的有效性。這是成本密集型的??。此外，當(dāng)使用PHP的默認(rèn)session.save_handler文件時，會話數(shù)據(jù)將存儲在session.save_path中指定的路徑中的文件中。使用該會話處理程序，會話數(shù)據(jù)的年齡根據(jù)文件的上次修改日期而不是上次訪問日期進行計算：這里舉一個例子：假設(shè)我5分鐘前設(shè)置了一個session_a=1的Session變量, 5分鐘后又設(shè)置了一個session_b=2的Seesion變量, 那么這個Session文件的修改時間為添加session_b時刻的時間, 那么session_a就不能在30分鐘的時候, 被清理了。

2、session.cookie_lifetime ：session.cookie_lifetime以秒為單位指定發(fā)送給瀏覽器的cookie的生命周期。

  這個過期只是Cookie過期, 換個說法這點就考察Cookie和Session的區(qū)別, Session過期是服務(wù)器過期, 而Cookie過期是客戶端(瀏覽器)來保證的, 即使你設(shè)置了Cookie過期, 這個只能保證標(biāo)準(zhǔn)瀏覽器到期的時候, 不會發(fā)送這個Cookie(包含著Session ID), 而如果通過構(gòu)造請求, 還是可以使用這個Session ID的值。

如果不使用數(shù)據(jù)庫來記錄session的過期時間，僅僅使用php，那么我們可以自己設(shè)置一個會話過期時間，在設(shè)置session的時候手動添加一個$_ SESSION['create_time']來記錄這個會話創(chuàng)建的時間。然后通過判斷這個create_time的時間戳與當(dāng)前的時間戳的大小，確定這個session是否過期，如果過期手動刪除session，然后提示用戶重新進行登陸。

示例代碼如下：

if (!isset($_SESSION['CREATED'])) {
    $_SESSION['CREATED'] = time();
} else if (time() - $_SESSION['CREATED'] > 1800) {
    // 會話開始的時間超過30分鐘
    session_regenerate_id(true);    // 使用新生成的會話 ID 更新現(xiàn)有會話 ID 
    $_SESSION['CREATED'] = time();  // 更新會話創(chuàng)建的時間
    // or 提示用戶重新登陸
}

if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > 1800)) {
    // last request was more than 30 minutes ago
    session_unset();     // unset $_SESSION variable for the run-time 
    session_destroy();   // destroy session data in storage
//跳轉(zhuǎn)頁面讓用戶進行登陸
}

如果使用數(shù)據(jù)庫的話，這里以mysql為例，可以在mysql的user表中添加一個記錄創(chuàng)建會話的時間，然后每次將這個user表中的這個時間取出來和當(dāng)前的時間進行比較，判斷會話是否過期。（ps:使用mysql的話速度慢，讀取很耗費資源，所以建議使用緩存數(shù)據(jù)庫。例如memcache、redis等等）

Session的生命期詳解

但是一般的Session的生命期有限，如果用戶關(guān)閉了瀏覽器，就不能保存Session的變量了！那么怎么樣可以實現(xiàn)Session的永久生命期呢？

大家知道，Session儲存在服務(wù)器端，根據(jù)客戶端提供的SessionID來得到這個用戶的文件，然后讀取文件，取得變量的值，SessionID可以使用客戶端的Cookie或者Http1.1協(xié)議的Query_String（就是訪問的URL的“?”后面的部分）來傳送給服務(wù)器，然后服務(wù)器讀取Session的目錄……

要實現(xiàn)Session的永久生命期，首先需要了解一下php.ini關(guān)于Session的相關(guān)設(shè)置（打開php.ini文件，在“[Session]”部分）：

1、session.use_cookies：默認(rèn)的值是“1”，代表SessionID使用Cookie來傳遞，反之就是使用Query_String來傳遞；
2、session.name：這個就是SessionID儲存的變量名稱，可能是Cookie，也可能是Query_String來傳遞，默認(rèn)值是“PHPSESSID”；
3、session.cookie_lifetime：這個代表SessionID在客戶端Cookie儲存的時間，默認(rèn)是0，代表瀏覽器一關(guān)閉SessionID就作廢……就是因為這個所以Session不能永久使用！
4、session.gc_maxlifetime：這個是Session數(shù)據(jù)在服務(wù)器端儲存的時間，如果超過這個時間，那么Session數(shù)據(jù)就自動刪除！

還有很多的設(shè)置，不過和本文相關(guān)的就是這些了，下面開始講使用永久Session的原理和步驟。
前面說過，服務(wù)器通過SessionID來讀取Session的數(shù)據(jù)，但是一般瀏覽器傳送的SessionID在瀏覽器關(guān)閉后就沒有了，那么我們只需要人為的設(shè)置SessionID并且保存下來，不就可以……

如果你擁有服務(wù)器的操作權(quán)限，那么設(shè)置這個非常非常的簡單，只是需要進行如下的步驟：

1、把“session.use_cookies”設(shè)置為1，打開Cookie儲存SessionID，不過默認(rèn)就是1，一般不用修改；
2、把“session.cookie_lifetime”改為正無窮（當(dāng)然沒有正無窮的參數(shù)，不過999999999和正無窮也沒有什么區(qū)別）;
3、把“session.gc_maxlifetime”設(shè)置為和“session.cookie_lifetime”一樣的時間；

在PHP的文檔中明確指出，設(shè)定session有效期的參數(shù)是session.gc_maxlifetime?？梢栽趐hp.ini文件中，或者通過ini_set()函數(shù)來修改這一參數(shù)。問題在于，經(jīng)過多次測試，修改這個參數(shù)基本不起作用，session有效期仍然保持24分鐘的默認(rèn)值。

由于PHP的工作機制，它并沒有一個daemon線程，來定時地掃描session信息并判斷其是否失效。當(dāng)一個有效請求發(fā)生時，PHP會根據(jù)全局變量session.gc_probability/session.gc_divisor（同樣可以通過php.ini或者ini_set()函數(shù)來修改）的值，來決定是否啟動一個GC（Garbage Collector）。
默認(rèn)情況下，session.gc_probability ＝ 1，session.gc_divisor ＝100，也就是說有1%的可能性會啟動GC。GC的工作，就是掃描所有的session信息，用當(dāng)前時間減去session的最后修改時間（modified date），同session.gc_maxlifetime參數(shù)進行比較，如果生存時間已經(jīng)超過gc_maxlifetime，就把該session刪除。
到此為止，工作一切正常。那為什么會發(fā)生gc_maxlifetime無效的情況呢？

在默認(rèn)情況下，session信息會以文本文件的形式，被保存在系統(tǒng)的臨時文件目錄中。在Linux下，這一路徑通常為\tmp，在 Windows下通常為C:\Windows\Temp。當(dāng)服務(wù)器上有多個PHP應(yīng)用時，它們會把自己的session文件都保存在同一個目錄中。同樣地，這些PHP應(yīng)用也會按一定機率啟動GC，掃描所有的session文件。

問題在于，GC在工作時，并不會區(qū)分不同站點的session。舉例言之，站點A的gc_maxlifetime設(shè)置為2小時，站點B的 gc_maxlifetime設(shè)置為默認(rèn)的24分鐘。當(dāng)站點B的GC啟動時，它會掃描公用的臨時文件目錄，把所有超過24分鐘的session文件全部刪除掉，而不管它們來自于站點A或B。這樣，站點A的gc_maxlifetime設(shè)置就形同虛設(shè)了。

找到問題所在，解決起來就很簡單了。修改session.save_path參數(shù)，或者使用session_save_path()函數(shù)，把保存session的目錄指向一個專用的目錄，gc_maxlifetime參數(shù)工作正常了。

嚴(yán)格地來說，這算是PHP的一個bug？

還有一個問題就是，gc_maxlifetime只能保證session生存的最短時間，并不能夠保存在超過這一時間之后session信息立即會得到刪除。因為GC是按機率啟動的，可能在某一個長時間內(nèi)都沒有被啟動，那么大量的session在超過gc_maxlifetime以后仍然會有效。

解決這個問題的一個方法是，把session.gc_probability/session.gc_divisor的機率提高，如果提到100%，就會徹底解決這個問題，但顯然會對性能造成嚴(yán)重的影響。另一個方法是自己在代碼中判斷當(dāng)前session的生存時間，如果超出了 gc_maxlifetime，就清空當(dāng)前session。

但是如果你沒有服務(wù)器的操作權(quán)限，那就比較麻煩了，你需要通過PHP程序改寫SessionID來實現(xiàn)永久的Session數(shù)據(jù)保存。查查php.net的函數(shù)手冊，可以見到有“session_id”這個函數(shù)：如果沒有設(shè)置參數(shù)，那么將返回當(dāng)前的SessionID，如果設(shè)置了參數(shù)，就會將當(dāng)前的SessionID設(shè)置為給出的值……

只要利用永久性的Cookie加上“session_id”函數(shù)，就可以實現(xiàn)永久Session數(shù)據(jù)保存了！

但是為了方便，我們需要知道服務(wù)器設(shè)置的“session.name”，但是一般用戶都沒有權(quán)限查看服務(wù)器的php.ini設(shè)置，不過PHP提供了一個非常好的函數(shù)“phpinfo”，利用這個可以查看幾乎所有的PHP信息！

<title>PHP相關(guān)信息顯示</title>
<?phpinfo()?>

打開編輯器，輸入上面的代碼，然后在瀏覽器中運行這個程序，會見到PHP的相關(guān)信息（如圖1所示）。其中有一項“session.name”的參數(shù)，這個就是我們需要的服務(wù)器“session.name”，一般是“PHPSESSID”。

記下了SessionID的名稱后，我們就可以實現(xiàn)永久的Session數(shù)據(jù)儲存了！

代碼如下:

session_start();
ini_set('session.save_path','/tmp/');
//6個鐘頭
ini_set('session.gc_maxlifetime',21600);
//保存一天
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");

后記：

其實真正的永久儲存是不可能的，因為Cookie的保存時間有限，而服務(wù)器的空間也有限……但是對于一些需要保存時間比較長的站點，以上方法就已經(jīng)足夠了！
把session放入mysql的Example:

數(shù)據(jù)庫里建表：session ( sesskey varchar32 , expiry int11 , value longtext)

code:
代碼執(zhí)行前已經(jīng)連接數(shù)據(jù)庫了。

代碼如下:

define('STORE_SESSIONS','mysql');
if (STORE_SESSIONS == 'mysql') {
if (!$SESS_LIFE = get_cfg_var('session.gc_maxlifetime')) {
$SESS_LIFE = 1440;
}
function _sess_open($save_path, $session_name) {
// 如果沒有連接數(shù)據(jù)庫，可以在此執(zhí)行mysql_pconnect,mysql_select_db
return true;
}
function _sess_close() {
return true;
}
function _sess_read($key) {
$value_query = mysql_query("select value from sessions where sesskey = '" .addslashes($key) . "' and expiry > '" . time() . "'");
$value = mysql_fetch_array($value_query);
if (isset($value['value'])) {
return $value['value'];
}
return false;
}
function _sess_write($key, $val) {
global $SESS_LIFE;
$expiry = time() + $SESS_LIFE;
$value = $val;
$check_query = mysql_query("select count(*) as total from sessions where sesskey = '" . addslashes($key) . "'");
$check = mysql_fetch_array($check_query);
if ($check['total'] > 0) {
return mysql_query("update sessions set expiry = '" . addslashes($expiry) . "', value = '" . addslashes($value) . "' where sesskey = '" . addslashes($key) . "'");
} else {
return mysql_query("insert into sessions values ('" . addslashes($key) . "', '" . addslashes($expiry) . "', '" . addslashes($value) . "')");
}
}
function _sess_destroy($key) {
return mysql_query("delete from sessions where sesskey = '" . addslashes($key) . "'");
}
function _sess_gc($maxlifetime) {
mysql_query("delete from sessions where expiry < '" . time() . "'");
return true;
}
session_set_save_handler('_sess_open', '_sess_close', '_sess_read', '_sess_write', '_sess_destroy', '_sess_gc');
}
danoo_session_name( 'dtvSid' );
danoo_session_save_path(SESSION_WRITE_DIRECTORY);

還是有點不明白，open,write那些參數(shù)哪里來的。

修改php.ini配置的兩個常用函數(shù)：
get_cfg_var('session.gc_maxlifetime') : 取得session.gc_maxlifetime的值
ini_set('session.cookie_lifetime','0') : 設(shè)置session.cookie_lifetime的值為0。

最新評論