PHP Session以及过期设置

PHP Session 变量

您在计算机上操作某个应用程序时，您打开它，做些更改，然后关闭它。这很像一次对话（Session）。计算机知道您是谁。它清楚您在何时打开和关闭应用程序。然而，在因特网上问题出现了：由于 HTTP 地址无法保持状态，Web 服务器并不知道您是谁以及您做了什么。

PHP session 解决了这个问题，它通过在服务器上存储用户信息以便随后使用（比如用户名称、购买商品等）。然而，会话信息是临时的，在用户离开网站后将被删除。如果您需要永久存储信息，可以把数据存储在数据库中。

PHP session 变量用于存储关于用户会话（session）的信息，或者更改用户会话（session）的设置。Session 变量存储单一用户的信息，并且对于应用程序中的所有页面都是可用的。

Session 的工作机制是：为每个访客创建一个唯一的 id (UID)，并基于这个 UID 来存储变量。UID 存储在 cookie 中，或者通过 URL 进行传导。

---

开始 PHP Session

在您把用户信息存储到 PHP session 中之前，首先必须启动会话。

注释：session_start() 函数必须位于 <html> 标签之前：

<?php session_start(); ?>

<html>
<body>

</body>
</html>

上面的代码会向服务器注册用户的会话，以便您可以开始保存用户信息，同时会为用户会话分配一个 UID。

---

存储 Session 变量

存储和取回 session 变量的正确方法是使用 PHP $_SESSION 变量：

<?php
session_start();
// 存储 session 数据
$_SESSION['views']=1;
?>

<html>
<head>
<meta charset="utf-8">
<title>菜鸟教程(runoob.com)</title>
</head>
<body>

<?php
// 检索 session 数据
echo "浏览量：". $_SESSION['views'];
?>

</body>
</html>

输出：

浏览量：1

在下面的实例中，我们创建了一个简单的 page-view 计数器。isset() 函数检测是否已设置 "views" 变量。如果已设置 "views" 变量，我们累加计数器。如果 "views" 不存在，则创建 "views" 变量，并把它设置为 1：

<?php
session_start();

if(isset($_SESSION['views']))
{
	$_SESSION['views']=$_SESSION['views']+1;
}
else
{
	$_SESSION['views']=1;
}
echo "浏览量：". $_SESSION['views'];
?>

---

销毁 Session

如果您希望删除某些 session 数据，可以使用 unset() 或 session_destroy() 函数。

unset() 函数用于释放指定的 session 变量：

<?php
session_start();
if(isset($_SESSION['views']))
{
	unset($_SESSION['views']);
}
?>

您也可以通过调用 session_destroy() 函数彻底销毁 session：

<?php
session_destroy();
?>

注释：session_destroy() 将重置 session，您将失去所有已存储的 session 数据。

---

session 回收机制

PHP采用Garbage Collection process对过期session进行回收，然而并不是每次session建立时，都能够唤起 'garbage collection' process ，gc是按照一定概率启动的。这主要是出于对服务器性能方面的考虑，每个session都触发gc，浏览量大的话，服务器吃不消，然而按照一定概率开启gc，当流览量大的时候，session过期机制能够正常运行，而且服务器效率得到节省。细节应该都是多年的经验积累得出的。

三个与PHP session过期相关的参数(php.ini中)：

session.gc_probability = 1
session.gc_divisor = 1000
session.gc_maxlifetime = 1440(默认24分钟)
gc启动概率 = gc_probability / gc_divisor = 0.1%
session过期时间 gc_maxlifetime 单位：秒

session有过期的机制：

session.gc_maxlifetime 原来session 过期是一个小概率的事件，分别使用session.gc_probability和session.gc_divisor 来确定运行session 中gc 的概率 session.gc_probability和session.gc_divisor的默认值分别为 1和100。分别为分子和分母 所以session中gc的概率运行机会为1% 。如果修改这两个值，则会降低php的效率。所以这种方法是不对的！！
因此，修改php.ini文件中的gc_maxlifetime变量就可以延长session的过期时间了：（例如，我们把过期时间修改为86400秒）
session.gc_maxlifetime = 86400
然后，重启你的web服务（一般是apache）就可以了。

session“回收”何时发生：

默认情况下，每一次php请求，就会有1/100的概率发生回收，所以可能简单的理解为“每100次php请求就有一次回收发生”。这个概率是通过以下参数控制的
#概率是gc_probability/gc_divisor

?

1 2	session.gc_probability = 1 session.gc_divisor = 100

注意1：假设这种情况gc_maxlifetime=120，如果某个session文件最后修改时间是120秒之前，那么在下一次回收（1/100的概率）发生前，这个session仍然是有效的。

注意2：如果你的session使用session.save_path中使用别的地方保存session，session回收机制有可能不会自动处理过期session文件。这时需要定时手动（或者crontab）的删除过期的session：

?

1	cd /path/to/sessions ; find -cmin +24 | xargs rm

PHP中的session永不过期

不修改程序是最好的方法了，因为如果修改程序，测试部一定非常郁闷，那么只能修改系统环境配置，其实很 简单，打开php.ini设置文件，修改三行如下：

1、session.use_cookies

把这个的值设置为1，利用cookie来传递sessionid

2、session.cookie_lifetime

这个代表SessionID在客户端Cookie储存的时间，默认是0，代表浏览器一关闭SessionID就作废……就是因为这个所以PHP的 session不能永久使用！ 那么我们把它设置为一个我们认为很大的数字吧，999999999怎么样，可以的！就这样。

3、session.gc_maxlifetime

这个是Session数据在服务器端储存的时间，如果超过这个时间，那么Session数据就自动删除！ 那么我们也把它设置为99999999。

就这样一切ok了，当然你不相信的话就测试一下看看――设置一个session值过个10天半个月的回来看看，如果你的电脑没有断电或者宕机，你仍然可以看见这个sessionid。

当然也可能你没有控制服务器的权限并不能像我一样幸运的可以修改php.ini设置，一切依靠我们自己也是有办法的，当然就必须利用到客户端存储 cookie了，把得到的sessionID存储到客户端的cookie里面，设置这个cookie的值，然后把这个值传递给session_id()这 个函数，具体做法如下：

?

1 2 3 4 5 6 7 8 9

<?php session_start(); // 启动Session $_SESSION [ 'count' ]; // 注册Session变量Count isset( $PHPSESSID )?session_id( $PHPSESSID ): $PHPSESSID = session_id(); // 如果设置了$PHPSESSID，就将SessionID赋值为$PHPSESSID，否则生成SessionID $_SESSION [ 'count' ]++; // 变量count加1 setcookie( 'PHPSESSID' , $PHPSESSID , time()+3156000); // 储存SessionID到Cookie中 echo $count ; // 显示Session变量count的值 ?>

session失效不传递

我们先写个php文件：<?=phpinfo()?>， 传到服务器去看看服务器的参数配置。
转到session部分，看到session.use_trans_sid参数被设为了零。
这个参数指定了是否启用透明SID支持，即session是否随着URL传递。我个人的理解是，一旦这个参数被设为0，那么每个URL都会启一个session。这样后面页面就无法追踪得到前面一个页面的session，也就是我们所说的无法传递。两个页面在服务器端生成了两个session文件，且无关联。（此处精确原理有待确认）
所以一个办法是在配置文件php.ini里把session.use_trans_sid的值改成1。

当然我们知道，不是谁都有权限去改php的配置的，那么还有什么间接的解决办法呢？
下面就用两个实例来说明：
文件1 test1.php

?

1 2 3 4 5 6 7 8 9 10

<?php //表明是使用用户ID为标识的session session_id(SID); //启动session session_start(); //将session的name赋值为Havi $_SESSION [ 'name' ]= "Havi" ; //输出session，并设置超链接到第二页test2.php echo "<a href=" test2.php " rel=" external nofollow " >" . $_SESSION [ 'name' ]. "</a>" ; ?>

文件2： test2.php

?

1 2 3 4 5 6 7 8

<?php 表明是使用用户ID为标识的session session_id(SID); //启动session session_start(); //输出test1.php中传递的session。 echo "This is " . $_SESSION [ 'name' ]; ?>

所以，重点是在session_start();前加上session_id(SID);，这样页面转换时，服务器使用的是用户保存在服务器session文件夹里的session，解决了传递的问题。
不过有朋友会反映说，这样一来，多个用户的session写在一个SID里了，那Session的价值就发挥不出来了。所以还有一招来解决此问题，不用加session_id(SID);前提是你对服务器的php.ini有配置的权限：
output_buffering改成ON，道理就不表了。
第二个可能的原因是对服务器保存session的文件夹没有读取的权限，还是回到phpinfo.php中，查看session保存的地址：

?

1	session.save_path: var /tmp

所以就是检查下var/tmp文件夹是否可写。
写一个文件：test3.php来测试一下：

?

1 2 3

<?php echo var_dump( is_writeable ( ini_get ( "session.save_path" ))); ?>

如果返回bool(false)，证明文件夹写权限被限制了，那就换个文件夹咯，在你编写的网页里加入：

?

1 2 3 4 5 6 7

//设置当前目录下session子文件夹为session保存路径。 $sessSavePath = dirname( __FILE__ ). '/session/' ; //如果新路径可读可写（可通过FTP上变更文件夹属性为777实现），则让该路径生效。 if ( is_writeable ( $sessSavePath ) && is_readable ( $sessSavePath )) { session_save_path( $sessSavePath ); }