1、session.gc_maxlifetime 控制 session 有效期
PHP的session有效期默认是1440秒(24分钟),如果客户端超过24分钟没有刷新,当前session会被回收,失效。
可以修改php.ini的session.gc_maxlifetime来设置session的生命周期,但并不能保证在超过这一时间后session信息立即会删除。因为GC是按机率启动的,可能在某一个长时间内都没有被启动。那么大量的session在超过session.gc_maxlifetime后仍然有效。
session.gc_maxlifetime = 60表示当session文件在60秒后没有被访问,则视为过期session,等待GC回收。
2、session.gc_probability,session.gc_divisor说明
session.gc_probability 与 session.gc_divisor 合起来定义了在每个会话初始化时启动 gc(garbage collection 垃圾回收)进程的概率。此概率用 gc_probability/gc_divisor 计算得来。例如 1/1000 意味着在每个请求中有 0.1% 的概率启动 gc 进程。如果session.gc_probability = 1000,那么GC进程在每次执行session_start()时都会调用,执行收。session.gc_divisor 默认为 1000。
比如:session.gc_maxlifetime=60,session.gc_divisor=1000,session.gc_probability=1,就表示每一千个用户调用session_start()的时候,就百分百的会执行一次垃圾回收机制,将磁盘上没用的session文件删除。
注意:一般对于一些大型的门户网站,建议将session.gc_divisor调大一点,减少开销
把session.gc_probability/session.gc_divisor的机率提高,会有帮助,但会对性能造成严重影响。
3、举例说明
php.ini配置:
session.gc_maxlifetime = 30
session.gc_divisor = 1000
session.gc_probability = 1000
因为gc进程被调用的概率是通过gc_probability/gc_divisor 计算得来的,这里我将session.gc_probability改成1000,而session.gc_divisor 默认情况下也是1000。则gc进程在每次执行session_start()函数的时候都会被调用到。
开启两个会话,如图
过30秒,刷新一个人页面之后,如图:
虽说效果很明显,但是线上环境强烈建议将gc_probability参数调低,使用默认值即可,因为太高会影响性能
4、严格控制session过期方法
(1)永不过期设置,打开php.ini,修改参数
1、session.use_cookies:
把这个的值设置为1,利用cookie来传递sessionid
2、session.cookie_lifetime:
这个代表SessionID在客户端Cookie储存的时间,默认是0,代表浏览器一关闭SessionID就作废……就 是因为这个所以PHP的 session不能永久使用! 那么我们把它设置为一个我们认为很大的数字吧, 99999999。
3、session.gc_maxlifetime:
这个是Session数据在服务器端储存的时间,如果超过这个时间,那么Session数据就自动删除! 那么我 们也把它设置为99999999。
(2)
ini_set("session.gc_maxlifetime",24 * 3600);
session_start();
$lifetime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifetime, '/');
$_SESSION['name'] = 'zhang';
echo '设置成功='.$_SESSION['name'];
(3)
ini_set("session.gc_maxlifetime",24 * 3600);
$lifetime = 24 * 3600;
session_set_cookie_params($lifetime);
session_start();
$_SESSION['num'] = '6055';
echo '设置成功=='.$_SESSION['num'];
(4)使用memcache/redis来保存session,设置过期时间,因为memcache/redis的回收机制不是按机率的,可以确保session过期后失效。
(5)只使用php实现,创建一个session类,在session写入时,把过期时间也写入。读取时,根据过期时间判断是否已过期。
//Session控制类
classSession{
/**
* 设置session
* @param String $name session name
* @param Mixed $data session data
* @param Int $expire 超时时间(秒)
*/
public static function set($name,$data,$expire=600){
$session_data=array();
$session_data['data'] =$data;
$session_data['expire'] = time()+$expire;
$_SESSION[$name] =$session_data;
}
/**
* 读取session
* @param String $name session name
* @return Mixed
*/
public static function get($name){
if(isset($_SESSION[$name])){
if($_SESSION[$name]['expire']>time()){
return$_SESSION[$name]['data'];
}else{
self::clear($name);
}
}
return false;
}
/**
* 清除session
* @param String $name session name
*/
private static function clear($name){
unset($_SESSION[$name]);
}
}
demo:
session_start();
$data='123456';
session::set('test',$data, 10);
echosession::get('test');// 未过期,输出
//echosession::get('test');// 已过期
5、清除session(删除服务端与客户端)
session_start();
$_SESSION=array();
if (ini_get("session.use_cookies")) {
$params = session_get_cookie_params();
setcookie(session_name(), '', time() - 42000,$params["path"], $params["domain"] $params["secure"], $params["httponly"]);
}
session_destroy();