一個(gè)已知管用的方法是，使用session_set_save_handler，接管所有的session管理工作，一般是把session信息存儲(chǔ)到數(shù)據(jù)庫(kù)，這樣可以通過(guò)SQL語(yǔ)句來(lái)刪除所有過(guò)期的session，精確地控制session的有效期。這也是基于PHP的大型網(wǎng)站常用的方法。但是，一般的小型網(wǎng)站，似乎沒(méi)有必要這么勞師動(dòng)眾。

php中的session生命周期

在PHP中，會(huì)話（session）生命周期由兩個(gè)主要因素控制：會(huì)話文件的存儲(chǔ)時(shí)間和會(huì)話cookie的過(guò)期時(shí)間。

會(huì)話文件的存儲(chǔ)時(shí)間： PHP會(huì)話數(shù)據(jù)通常存儲(chǔ)在服務(wù)器上的文件中。會(huì)話文件的存儲(chǔ)時(shí)間由php.ini配置文件中的session.gc_maxlifetime參數(shù)決定，默認(rèn)為1440秒（24分鐘）。這個(gè)參數(shù)表示會(huì)話文件在多長(zhǎng)時(shí)間內(nèi)沒(méi)有被訪問(wèn)后將被清除。你可以在代碼中使用session.gc_maxlifetime來(lái)獲取或修改這個(gè)值。

// 獲取當(dāng)前會(huì)話文件的存儲(chǔ)時(shí)間（以秒為單位）
$sessionLifetime = ini_get('session.gc_maxlifetime');

// 修改會(huì)話文件的存儲(chǔ)時(shí)間為30分鐘（1800秒）
ini_set('session.gc_maxlifetime', 1800);

在PHP中，會(huì)話（session）是一種記錄服務(wù)器與客戶端之間交互狀態(tài)的機(jī)制。會(huì)話的生命周期包括三個(gè)階段：開(kāi)始、活動(dòng)和終止。

1. 開(kāi)始階段（session_start()）：會(huì)話開(kāi)始于調(diào)用session_start()函數(shù)的時(shí)候。在這個(gè)階段，服務(wù)端會(huì)生成一個(gè)唯一的會(huì)話ID（Session ID），用來(lái)標(biāo)識(shí)用戶的會(huì)話信息。同時(shí)，會(huì)話數(shù)據(jù)會(huì)被存儲(chǔ)在服務(wù)器上，通常以文件或數(shù)據(jù)庫(kù)的形式。

2. 活動(dòng)階段：一旦會(huì)話開(kāi)始，客戶端在與服務(wù)器之間的交互中，可以通過(guò)會(huì)話ID來(lái)訪問(wèn)和更新會(huì)話數(shù)據(jù)。在每次請(qǐng)求中，通過(guò)檢查會(huì)話ID，服務(wù)器可以將之前保存的會(huì)話數(shù)據(jù)恢復(fù)到當(dāng)前請(qǐng)求中。在活動(dòng)階段，可以向會(huì)話中添加、刪除、修改數(shù)據(jù)。

3. 終止階段：會(huì)話的終止可以通過(guò)下面幾種方式來(lái)實(shí)現(xiàn)：
- 手動(dòng)終止：調(diào)用session_destroy()函數(shù)銷(xiāo)毀當(dāng)前的會(huì)話，并清除會(huì)話數(shù)據(jù)。
- 超時(shí)終止：通過(guò)設(shè)置會(huì)話超時(shí)時(shí)間，一旦超過(guò)指定的時(shí)間沒(méi)有活動(dòng)，會(huì)話將自動(dòng)終止。
- 關(guān)閉瀏覽器終止：當(dāng)用戶關(guān)閉瀏覽器時(shí)，會(huì)話隨之終止。

下面是一個(gè)示例代碼，演示了如何使用PHP的會(huì)話機(jī)制：

<?php
// 開(kāi)始會(huì)話
session_start();
 
// 向會(huì)話中添加數(shù)據(jù)
$_SESSION['username'] = 'John Doe';
$_SESSION['cart'] = ['item1', 'item2'];
 
// 輸出會(huì)話數(shù)據(jù)
echo 'Username: ' . $_SESSION['username'] . '<br>';
echo 'Cart: ' . implode(', ', $_SESSION['cart']);
 
// 銷(xiāo)毀會(huì)話
session_destroy();
?>

在這個(gè)示例中，調(diào)用session_start()函數(shù)開(kāi)始了一個(gè)會(huì)話。然后，我們向會(huì)話中添加了`username`和`cart`兩條數(shù)據(jù)。最后，通過(guò)echo語(yǔ)句將會(huì)話數(shù)據(jù)輸出到頁(yè)面上。最后，調(diào)用session_destroy()函數(shù)手動(dòng)銷(xiāo)毀了當(dāng)前的會(huì)話。

需要注意的是，為了正確使用會(huì)話，需要在每個(gè)使用會(huì)話數(shù)據(jù)的頁(yè)面的頂部調(diào)用session_start()函數(shù)。這樣才能確保會(huì)話數(shù)據(jù)的正確加載和保存。

php-session過(guò)期時(shí)間設(shè)置（設(shè)置免登陸過(guò)期時(shí)間）

今天用tp框架做一個(gè)登陸界面的時(shí)候，對(duì)于session的過(guò)期時(shí)間這個(gè)問(wèn)題表費(fèi)解，例如如何設(shè)置一個(gè)準(zhǔn)確的session過(guò)期時(shí)間。

通過(guò)自己看tp的官方文檔，里面只提到了兩個(gè)，但是這兩個(gè)一個(gè)是session.gc_maxlifetime ,一個(gè)是cookie.session_lifetime。但是：

1、session.gc_maxlifetime:session.gc_maxlifetime specifies the number of seconds after which data will be seen as 'garbage' and cleaned up. Garbage collection occurs during session start.(session.gc_maxlifetime指定數(shù)據(jù)在多少秒之后將被視為垃圾并清理掉。 垃圾收集發(fā)生在會(huì)話開(kāi)始時(shí)。）

  垃圾收集器僅以session.gc_probability除以session.gc_divisor的概率開(kāi)始。使用這些選項(xiàng)的默認(rèn)值（分別為1和100），機(jī)會(huì)僅為1％。那么，你可以簡(jiǎn)單地調(diào)整這些值，以便更頻繁地啟動(dòng)垃圾收集器。但是當(dāng)垃圾回收器啟動(dòng)時(shí)，它會(huì)檢查每個(gè)注冊(cè)會(huì)話的有效性。這是成本密集型的??。此外，當(dāng)使用PHP的默認(rèn)session.save_handler文件時(shí)，會(huì)話數(shù)據(jù)將存儲(chǔ)在session.save_path中指定的路徑中的文件中。使用該會(huì)話處理程序，會(huì)話數(shù)據(jù)的年齡根據(jù)文件的上次修改日期而不是上次訪問(wèn)日期進(jìn)行計(jì)算：這里舉一個(gè)例子：假設(shè)我5分鐘前設(shè)置了一個(gè)session_a=1的Session變量, 5分鐘后又設(shè)置了一個(gè)session_b=2的Seesion變量, 那么這個(gè)Session文件的修改時(shí)間為添加session_b時(shí)刻的時(shí)間, 那么session_a就不能在30分鐘的時(shí)候, 被清理了。

2、session.cookie_lifetime ：session.cookie_lifetime以秒為單位指定發(fā)送給瀏覽器的cookie的生命周期。

  這個(gè)過(guò)期只是Cookie過(guò)期, 換個(gè)說(shuō)法這點(diǎn)就考察Cookie和Session的區(qū)別, Session過(guò)期是服務(wù)器過(guò)期, 而Cookie過(guò)期是客戶端(瀏覽器)來(lái)保證的, 即使你設(shè)置了Cookie過(guò)期, 這個(gè)只能保證標(biāo)準(zhǔn)瀏覽器到期的時(shí)候, 不會(huì)發(fā)送這個(gè)Cookie(包含著Session ID), 而如果通過(guò)構(gòu)造請(qǐng)求, 還是可以使用這個(gè)Session ID的值。

如果不使用數(shù)據(jù)庫(kù)來(lái)記錄session的過(guò)期時(shí)間，僅僅使用php，那么我們可以自己設(shè)置一個(gè)會(huì)話過(guò)期時(shí)間，在設(shè)置session的時(shí)候手動(dòng)添加一個(gè)$_ SESSION['create_time']來(lái)記錄這個(gè)會(huì)話創(chuàng)建的時(shí)間。然后通過(guò)判斷這個(gè)create_time的時(shí)間戳與當(dāng)前的時(shí)間戳的大小，確定這個(gè)session是否過(guò)期，如果過(guò)期手動(dòng)刪除session，然后提示用戶重新進(jìn)行登陸。

示例代碼如下：

if (!isset($_SESSION['CREATED'])) {
    $_SESSION['CREATED'] = time();
} else if (time() - $_SESSION['CREATED'] > 1800) {
    // 會(huì)話開(kāi)始的時(shí)間超過(guò)30分鐘
    session_regenerate_id(true);    // 使用新生成的會(huì)話 ID 更新現(xiàn)有會(huì)話 ID 
    $_SESSION['CREATED'] = time();  // 更新會(huì)話創(chuàng)建的時(shí)間
    // or 提示用戶重新登陸
}

if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > 1800)) {
    // last request was more than 30 minutes ago
    session_unset();     // unset $_SESSION variable for the run-time 
    session_destroy();   // destroy session data in storage
//跳轉(zhuǎn)頁(yè)面讓用戶進(jìn)行登陸
}

如果使用數(shù)據(jù)庫(kù)的話，這里以mysql為例，可以在mysql的user表中添加一個(gè)記錄創(chuàng)建會(huì)話的時(shí)間，然后每次將這個(gè)user表中的這個(gè)時(shí)間取出來(lái)和當(dāng)前的時(shí)間進(jìn)行比較，判斷會(huì)話是否過(guò)期。（ps:使用mysql的話速度慢，讀取很耗費(fèi)資源，所以建議使用緩存數(shù)據(jù)庫(kù)。例如memcache、redis等等）

Session的生命期詳解

但是一般的Session的生命期有限，如果用戶關(guān)閉了瀏覽器，就不能保存Session的變量了！那么怎么樣可以實(shí)現(xiàn)Session的永久生命期呢？

大家知道，Session儲(chǔ)存在服務(wù)器端，根據(jù)客戶端提供的SessionID來(lái)得到這個(gè)用戶的文件，然后讀取文件，取得變量的值，SessionID可以使用客戶端的Cookie或者Http1.1協(xié)議的Query_String（就是訪問(wèn)的URL的“?”后面的部分）來(lái)傳送給服務(wù)器，然后服務(wù)器讀取Session的目錄……

要實(shí)現(xiàn)Session的永久生命期，首先需要了解一下php.ini關(guān)于Session的相關(guān)設(shè)置（打開(kāi)php.ini文件，在“[Session]”部分）：

1、session.use_cookies：默認(rèn)的值是“1”，代表SessionID使用Cookie來(lái)傳遞，反之就是使用Query_String來(lái)傳遞；
2、session.name：這個(gè)就是SessionID儲(chǔ)存的變量名稱，可能是Cookie，也可能是Query_String來(lái)傳遞，默認(rèn)值是“PHPSESSID”；
3、session.cookie_lifetime：這個(gè)代表SessionID在客戶端Cookie儲(chǔ)存的時(shí)間，默認(rèn)是0，代表瀏覽器一關(guān)閉SessionID就作廢……就是因?yàn)檫@個(gè)所以Session不能永久使用！
4、session.gc_maxlifetime：這個(gè)是Session數(shù)據(jù)在服務(wù)器端儲(chǔ)存的時(shí)間，如果超過(guò)這個(gè)時(shí)間，那么Session數(shù)據(jù)就自動(dòng)刪除！

還有很多的設(shè)置，不過(guò)和本文相關(guān)的就是這些了，下面開(kāi)始講使用永久Session的原理和步驟。
前面說(shuō)過(guò)，服務(wù)器通過(guò)SessionID來(lái)讀取Session的數(shù)據(jù)，但是一般瀏覽器傳送的SessionID在瀏覽器關(guān)閉后就沒(méi)有了，那么我們只需要人為的設(shè)置SessionID并且保存下來(lái)，不就可以……

如果你擁有服務(wù)器的操作權(quán)限，那么設(shè)置這個(gè)非常非常的簡(jiǎn)單，只是需要進(jìn)行如下的步驟：

1、把“session.use_cookies”設(shè)置為1，打開(kāi)Cookie儲(chǔ)存SessionID，不過(guò)默認(rèn)就是1，一般不用修改；
2、把“session.cookie_lifetime”改為正無(wú)窮（當(dāng)然沒(méi)有正無(wú)窮的參數(shù)，不過(guò)999999999和正無(wú)窮也沒(méi)有什么區(qū)別）;
3、把“session.gc_maxlifetime”設(shè)置為和“session.cookie_lifetime”一樣的時(shí)間；

在PHP的文檔中明確指出，設(shè)定session有效期的參數(shù)是session.gc_maxlifetime?？梢栽趐hp.ini文件中，或者通過(guò)ini_set()函數(shù)來(lái)修改這一參數(shù)。問(wèn)題在于，經(jīng)過(guò)多次測(cè)試，修改這個(gè)參數(shù)基本不起作用，session有效期仍然保持24分鐘的默認(rèn)值。

由于PHP的工作機(jī)制，它并沒(méi)有一個(gè)daemon線程，來(lái)定時(shí)地掃描session信息并判斷其是否失效。當(dāng)一個(gè)有效請(qǐng)求發(fā)生時(shí)，PHP會(huì)根據(jù)全局變量session.gc_probability/session.gc_divisor（同樣可以通過(guò)php.ini或者ini_set()函數(shù)來(lái)修改）的值，來(lái)決定是否啟動(dòng)一個(gè)GC（Garbage Collector）。
默認(rèn)情況下，session.gc_probability ＝ 1，session.gc_divisor ＝100，也就是說(shuō)有1%的可能性會(huì)啟動(dòng)GC。GC的工作，就是掃描所有的session信息，用當(dāng)前時(shí)間減去session的最后修改時(shí)間（modified date），同session.gc_maxlifetime參數(shù)進(jìn)行比較，如果生存時(shí)間已經(jīng)超過(guò)gc_maxlifetime，就把該session刪除。
到此為止，工作一切正常。那為什么會(huì)發(fā)生gc_maxlifetime無(wú)效的情況呢？

在默認(rèn)情況下，session信息會(huì)以文本文件的形式，被保存在系統(tǒng)的臨時(shí)文件目錄中。在Linux下，這一路徑通常為\tmp，在 Windows下通常為C:\Windows\Temp。當(dāng)服務(wù)器上有多個(gè)PHP應(yīng)用時(shí)，它們會(huì)把自己的session文件都保存在同一個(gè)目錄中。同樣地，這些PHP應(yīng)用也會(huì)按一定機(jī)率啟動(dòng)GC，掃描所有的session文件。

問(wèn)題在于，GC在工作時(shí)，并不會(huì)區(qū)分不同站點(diǎn)的session。舉例言之，站點(diǎn)A的gc_maxlifetime設(shè)置為2小時(shí)，站點(diǎn)B的 gc_maxlifetime設(shè)置為默認(rèn)的24分鐘。當(dāng)站點(diǎn)B的GC啟動(dòng)時(shí)，它會(huì)掃描公用的臨時(shí)文件目錄，把所有超過(guò)24分鐘的session文件全部刪除掉，而不管它們來(lái)自于站點(diǎn)A或B。這樣，站點(diǎn)A的gc_maxlifetime設(shè)置就形同虛設(shè)了。

找到問(wèn)題所在，解決起來(lái)就很簡(jiǎn)單了。修改session.save_path參數(shù)，或者使用session_save_path()函數(shù)，把保存session的目錄指向一個(gè)專用的目錄，gc_maxlifetime參數(shù)工作正常了。

嚴(yán)格地來(lái)說(shuō)，這算是PHP的一個(gè)bug？

還有一個(gè)問(wèn)題就是，gc_maxlifetime只能保證session生存的最短時(shí)間，并不能夠保存在超過(guò)這一時(shí)間之后session信息立即會(huì)得到刪除。因?yàn)镚C是按機(jī)率啟動(dòng)的，可能在某一個(gè)長(zhǎng)時(shí)間內(nèi)都沒(méi)有被啟動(dòng)，那么大量的session在超過(guò)gc_maxlifetime以后仍然會(huì)有效。

解決這個(gè)問(wèn)題的一個(gè)方法是，把session.gc_probability/session.gc_divisor的機(jī)率提高，如果提到100%，就會(huì)徹底解決這個(gè)問(wèn)題，但顯然會(huì)對(duì)性能造成嚴(yán)重的影響。另一個(gè)方法是自己在代碼中判斷當(dāng)前session的生存時(shí)間，如果超出了 gc_maxlifetime，就清空當(dāng)前session。

但是如果你沒(méi)有服務(wù)器的操作權(quán)限，那就比較麻煩了，你需要通過(guò)PHP程序改寫(xiě)SessionID來(lái)實(shí)現(xiàn)永久的Session數(shù)據(jù)保存。查查php.net的函數(shù)手冊(cè)，可以見(jiàn)到有“session_id”這個(gè)函數(shù)：如果沒(méi)有設(shè)置參數(shù)，那么將返回當(dāng)前的SessionID，如果設(shè)置了參數(shù)，就會(huì)將當(dāng)前的SessionID設(shè)置為給出的值……

只要利用永久性的Cookie加上“session_id”函數(shù)，就可以實(shí)現(xiàn)永久Session數(shù)據(jù)保存了！

但是為了方便，我們需要知道服務(wù)器設(shè)置的“session.name”，但是一般用戶都沒(méi)有權(quán)限查看服務(wù)器的php.ini設(shè)置，不過(guò)PHP提供了一個(gè)非常好的函數(shù)“phpinfo”，利用這個(gè)可以查看幾乎所有的PHP信息！

<title>PHP相關(guān)信息顯示</title>
<?phpinfo()?>

打開(kāi)編輯器，輸入上面的代碼，然后在瀏覽器中運(yùn)行這個(gè)程序，會(huì)見(jiàn)到PHP的相關(guān)信息（如圖1所示）。其中有一項(xiàng)“session.name”的參數(shù)，這個(gè)就是我們需要的服務(wù)器“session.name”，一般是“PHPSESSID”。

記下了SessionID的名稱后，我們就可以實(shí)現(xiàn)永久的Session數(shù)據(jù)儲(chǔ)存了！

代碼如下:

session_start();
ini_set('session.save_path','/tmp/');
//6個(gè)鐘頭
ini_set('session.gc_maxlifetime',21600);
//保存一天
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");

后記：

其實(shí)真正的永久儲(chǔ)存是不可能的，因?yàn)镃ookie的保存時(shí)間有限，而服務(wù)器的空間也有限……但是對(duì)于一些需要保存時(shí)間比較長(zhǎng)的站點(diǎn)，以上方法就已經(jīng)足夠了！
把session放入mysql的Example:

數(shù)據(jù)庫(kù)里建表：session ( sesskey varchar32 , expiry int11 , value longtext)

code:
代碼執(zhí)行前已經(jīng)連接數(shù)據(jù)庫(kù)了。

代碼如下:

define('STORE_SESSIONS','mysql');
if (STORE_SESSIONS == 'mysql') {
if (!$SESS_LIFE = get_cfg_var('session.gc_maxlifetime')) {
$SESS_LIFE = 1440;
}
function _sess_open($save_path, $session_name) {
// 如果沒(méi)有連接數(shù)據(jù)庫(kù)，可以在此執(zhí)行mysql_pconnect,mysql_select_db
return true;
}
function _sess_close() {
return true;
}
function _sess_read($key) {
$value_query = mysql_query("select value from sessions where sesskey = '" .addslashes($key) . "' and expiry > '" . time() . "'");
$value = mysql_fetch_array($value_query);
if (isset($value['value'])) {
return $value['value'];
}
return false;
}
function _sess_write($key, $val) {
global $SESS_LIFE;
$expiry = time() + $SESS_LIFE;
$value = $val;
$check_query = mysql_query("select count(*) as total from sessions where sesskey = '" . addslashes($key) . "'");
$check = mysql_fetch_array($check_query);
if ($check['total'] > 0) {
return mysql_query("update sessions set expiry = '" . addslashes($expiry) . "', value = '" . addslashes($value) . "' where sesskey = '" . addslashes($key) . "'");
} else {
return mysql_query("insert into sessions values ('" . addslashes($key) . "', '" . addslashes($expiry) . "', '" . addslashes($value) . "')");
}
}
function _sess_destroy($key) {
return mysql_query("delete from sessions where sesskey = '" . addslashes($key) . "'");
}
function _sess_gc($maxlifetime) {
mysql_query("delete from sessions where expiry < '" . time() . "'");
return true;
}
session_set_save_handler('_sess_open', '_sess_close', '_sess_read', '_sess_write', '_sess_destroy', '_sess_gc');
}
danoo_session_name( 'dtvSid' );
danoo_session_save_path(SESSION_WRITE_DIRECTORY);

還是有點(diǎn)不明白，open,write那些參數(shù)哪里來(lái)的。

修改php.ini配置的兩個(gè)常用函數(shù)：
get_cfg_var('session.gc_maxlifetime') : 取得session.gc_maxlifetime的值
ini_set('session.cookie_lifetime','0') : 設(shè)置session.cookie_lifetime的值為0。

最新評(píng)論