深入理解session过期机制

首先得明白:session的过期时间由两方面决定的; 
 1存储在客户端的$_COOKIE['PHPSESSID']的过期时间(默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。) 
 2.存储在服务器端的相对应的session文件(session文件名和上述cookie的值一一对应),默认为1440秒,即24分钟 

ok,现在详细阐述上述两者的关系:  当执行session_start()的时候 ,其实是做了两件事:  1, 检查客户端发送过来的的所有cookie(当然也包括$_COOKIE['PHPSESSID'],  如果有的话 ),根据$_COOKIE['PHPSESSID']的值(这是由apache产生的随机字符串,如0lkbd2se458r600m2m7o1r4ic5)来访问  相对应 的 session文件(如:sess_0lkbd2se458r600m2m7o1r4ic5,我的默认存储在‘E:\wamp\tmp’下),这两者是一 一对应的关系。打个比喻:$_COOKIE['PHPSESSID']就是一把开启宝盒的钥匙,而那个宝盒就是session文件,里面存储着用户的重要 信息,也就是session的值, 如:$_SESSION['uid']=1,$_SESSION['username']='name',$_SESSION['pwd']='pwd', 当然文件里面的值是经过序列化的。  2, 如果客户端没有传来$_COOKIE['PHPSESSID'],就会有服务端产生一个随机的$_COOKIE['PHPSESSID']并存储在客户端。 

明白上面这些,我们可以通过下面的方法修改session的过期时间: 
1.session_set_cookie_params('50');//修改$_COOKIE['PHPSESSID'],的生存时间为50秒  

(或者可以这样:   setcookie(session_name(),session_id(),time()+50);)  

2.ini_set('session.gc_maxlifetime','50');//设置session文件的有效时间为50秒  

但是 ,可能有些朋友会做这样  一个试验 , 在50秒内获取$_COOKIE['PHPSESSID']的值并记录下来(如黑客截获这个cookie),这样等50秒过后发现原先 的$_COOKIE['PHPSESSID']值确实不存在了,而出现了一个新的$_COOKIE['PHPSESSID'],但是‘E:\wamp \tmp’下的旧session文件却没有消失(默认只有1/1000的概率会消失,应该不会碰到吧,呵呵),这是为什么呢?我不是已经设置了  .ini_set('session.gc_maxlifetime','50');了 吗?再做一个实验:这时你伪造一个$_COOKIE['PHPSESSID'],值为刚才你记录下的,神奇的事发生了,你依然可以访问刚才旧的 session文件!!!(虽然他已经过期),只要这个文件没被删除,用相对应得$_COOKIE['PHPSESSID']依然可以进行访问!!!  

那我们设置ini_set('session.gc_maxlifetime', '50');还有什么意义呢 ?这就涉及的GC(GarbageCollector)的回收机制。 
 默 认情况下,session.gc_probability = 1,session.gc_divisor=1000,也就是说有1/1000的可能性会启动GC。GC的工作,就是扫描所有的session信息,用当 前时间减去session的最后修改时间(modifieddate),同session.gc_maxlifetime参数进行比较,如果生存时间已经 超过gc_maxlifetime,就把该session删除。只要没有启动GC,即使session过期,也仍旧可通过相对应 得$_COOKIE['PHPSESSID']进行访问! 
   
原文参考:  http://www.jb51.net/article/26890.htm  
                  http://www.php100.com/html/webkaifa/PHP/PHPyingyong/2012/0621/10583.html

你可能感兴趣的:(Php)