如何严格设置php中session的过期时间

严格限制session在30分钟过期

要解决这个问题,首先要理解php中session的基本原理
  • PHP中session有效期默认是1440秒(24分钟),也就是说,客户端超过24分钟没有刷新,当前session就会失效。当然如果浏览器关闭了,会话就结束了,session自然不存在了。
  • session是存储在服务器端,根据客户端提供的SessionID来得到这个用户的文件,然后读取文件,得到变量的值,SessionID可以使用客户端的Cookie或Http1.1协议的Query_String来传递给服务端。
  • php.ini关于session的相关设置
    • session.use_cookies:默认是是"1",代表sessionID使用cookie开传递,反之用query_string来传递;
    • session.name:默认PHPSESSID,代表SessionID的存储变量名。可是实在为CookieQuery_String...;
    • session_cookie_lifetime:SessionID在客户端Cookie的存储时间,默认是0,代表浏览器关闭就过期。
    • session_gc_maxlifetime:表示Session数据在服务端存储的时间。超时则session数据就自动删除;
      了解了session的基本原理,下面来看看都有什么方式可能解决这个问题。

方式一:设置session.gc_maxlifetime=1800

结果:不可行
原因:
1、这个php是用一定概率来运行sessiongc,也就是session.gc_probabilitysession.gc_divisor的比值决定。其默认值分别是1100,也就是1%的机会,php会在一个session启动时运行session gc,不能保证到30分钟就一定会过期,所以不严格。
2、那么设置一个大概率的清理机会呢?这也不妥,为什么?因为PHP使用stat Session 文件的修改时间来判断是否过期。如果增大这个概率一来会降低性能;二来PHP使用“一个”文件来保存和一个会话相关的Session变量,假设我5分钟前设置了一个a=1的Session变量,5分钟后又设置一个b=2的Session变量,那么这个Session文件的修改时间为添加b时刻的时间,那么a就不能在30分钟的时候被清理了。
3、PHP默认的(Linux为例)是使用/tmp作为Session的默认存储目录,并且手册也有如下描述:

##
Note:如果不同的脚本具有不同的Session.gc_maxlifetime数值但是共享了同一个地方存储会话数据,则具有最小数值的脚本会清理数据。此情况下,与session.save_path一起使用本命令,
##

也就是说,如果有两个应用都没有指定自己对立的save_path,一个设置了过期时间2 minutes(假设为A),一个设置为30minutes(假设为B)。那么每次当A的Session gc运行的时候,就会同时删除属于应用B的Session files。、、

所以,修改 session.gc_maxlifetime的方法不是完全严格正确的。

方式二:设置session.cookie_lifetime=1800

结果:不可行
原因:这个过期只是cookie的过期,这只能保证浏览器不会发送cookie(包含Session_ID)给服务端,但是通过构造的请求,还是可以使用这个Session_ID的。

方式三:

使用memcacheredis等。这是可以的。但是只有PHP呢?

方式四:

  • 设置session.gc_maxlifetime=1800,session.cookie_lifetime=1800
  • 设置session值时加上时间错,过期时间
  • 获取session值时,判断过期时间。
    具体代码思路如下:
class Session{  
      
        /** 
         * 设置session 
         * @param String $name   session name 
         * @param Mixed  $data   session data 
         * @param Int    $expire 超时时间(秒) 
         */  
        public static function set($name, $data, $expire=600){  
            $session_data = array();  
            $session_data['data'] = $data;  
            $session_data['expire'] = time()+$expire;  
            $_SESSION[$name] = $session_data;  
        }  
      
        /** 
         * 读取session 
         * @param  String $name  session name 
         * @return Mixed 
         */  
        public static function get($name){  
            if(isset($_SESSION[$name])){  
                if($_SESSION[$name]['expire']>time()){  
                    return $_SESSION[$name]['data'];  
                }else{  
                    self::clear($name);  
                }  
            }  
            return false;  
        }  
      
        /** 
         * 清除session 
         * @param  String  $name  session name 
         */  
        private static function clear($name){  
            unset($_SESSION[$name]);  
        }  
      
    }  
    demo.php  
      
    session_start();  
      
    $data = '123456';  
    session::set('test', $data, 10);  
    echo session::get('test'); // 未过期,输出  
    sleep(10);  
    echo session::get('test'); // 已过期

你可能感兴趣的:(如何严格设置php中session的过期时间)