session的运行流程:
session_start()以后,先看客户端的cookie里是否有有效的cookie,如果没有就会建个cookie里面写上一个sessionid比如xxxxxxxxxxxxxxxxxxxxx。然后呢,客户端就会把这个xxxxxxxxxxxxxxxxxxxxx交给服务器,服务器在自己那里某个指定的文件夹下找有没有sess_xxxxxxxxxxxxxxxxxxxxx这个文件,找不到就会建一个,然后要读要写的内容就都放在这里,这个文件呢就是所谓的session。
php.ini中的几个参数:
session.cookie_lifetime:cookie有效期限(从创建时间开始算,但如果设为0,则到下次开启浏览器为止)
session.gc_maxlifetime:session有效期限(从上次被修改时间开始算)
session.gc_probability & session.gc_divisor:每次start_session()的时候有session.gc_probability / session.gc_divisor的概率触发gc(garbage collection),gc会把服务器上的session扫一遍,然后删除掉过期的session。
在php页面中,session_start()以后是:
先修改session(就算那个php页面什么都不做只是session_start()一下,对应的session文件的修改时间也会被update);
然后再碰运气看有没有触发gc。
所以如果某用户在对应的session过期以后,自己的cookie过期以前又访问了这个网站,且期间其他用户的访问都恰好没有触发那个gc,那么这个用户对应的session文件依然存在,且其有效时间又会被刷新。