/ PHP

深入理解session过期机制

首先得明白:session的过期时间由两方面决定的;
1存储在客户端的$_COOKIE[‘PHPSESSID’]的过期时间(默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。)
2.存储在服务器端的相对应的session文件(session文件名和上述cookie的值一一对应),默认为1440秒,即24分钟

ok,现在详细阐述上述两者的关系: 当执行session_start()的时候,其实是做了两件事: 1,检查客户端发送过来的的所有cookie(当然也包括$_COOKIE[‘PHPSESSID’], 如果有的话),根据$_COOKIE[‘PHPSESSID’]的值(这是由apache产生的随机字符串,如0lkbd2se458r600m2m7o1r4ic5)来访问 相对应的 session文件(如:sess_0lkbd2se458r600m2m7o1r4ic5,我的默认存储在‘E:\wamp\tmp’下),这两者是一 一对应的关系。打个比喻:$_COOKIE[‘PHPSESSID’]就是一把开启宝盒的钥匙,而那个宝盒就是session文件,里面存储着用户的重要 信息,也就是session的值, 如:$_SESSION[‘uid’]=1,$_SESSION[‘username’]=’name’,$_SESSION[‘pwd’]=’pwd’, 当然文件里面的值是经过序列化的。 2,如果客户端没有传来$_COOKIE[‘PHPSESSID’],就会有服务端产生一个随机的$_COOKIE[‘PHPSESSID’]并存储在客户端。

明白上面这些,我们可以通过下面的方法修改session的过期时间:
1.session_set_cookie_params(’50’);//修改$_COOKIE[‘PHPSESSID’],的生存时间为50秒

(或者可以这样: setcookie(session_name(),session_id(),time()+50);)

2.ini_set(‘session.gc_maxlifetime’,’50’);//设置session文件的有效时间为50秒

但是,可能有些朋友会做这样 一个试验, 在50秒内获取$_COOKIE[‘PHPSESSID’]的值并记录下来(如黑客截获这个cookie),这样等50秒过后发现原先 的$_COOKIE[‘PHPSESSID’]值确实不存在了,而出现了一个新的$_COOKIE[‘PHPSESSID’],但是‘E:\wamp \tmp’下的旧session文件却没有消失(默认只有1/1000的概率会消失,应该不会碰到吧,呵呵),这是为什么呢?我不是已经设置了 .ini_set(‘session.gc_maxlifetime’,’50’);了 吗?再做一个实验:这时你伪造一个$_COOKIE[‘PHPSESSID’],值为刚才你记录下的,神奇的事发生了,你依然可以访问刚才旧的 session文件!!!(虽然他已经过期),只要这个文件没被删除,用相对应得$_COOKIE[‘PHPSESSID’]依然可以进行访问!!!

那我们设置ini_set(‘session.gc_maxlifetime’, ’50’);还有什么意义呢?这就涉及的GC(GarbageCollector)的回收机制。
默 认情况下,session.gc_probability = 1,session.gc_divisor=1000,也就是说有1/1000的可能性会启动GC。GC的工作,就是扫描所有的session信息,用当 前时间减去session的最后修改时间(modifieddate),同session.gc_maxlifetime参数进行比较,如果生存时间已经 超过gc_maxlifetime,就把该session删除。只要没有启动GC,即使session过期,也仍旧可通过相对应 得$_COOKIE[‘PHPSESSID’]进行访问!

转自http://www.oschina.net/question/196568_59569

深入理解session过期机制
Share this