php設定session的生存周期

本文主要分享一下關於php session的生存周期的相關知識。

首先說一下session的建立的開始到結束的過程。

當程式需要為某個用戶端的請求建立一個 session 的時候，伺服器首先會檢查這個用戶端是否已經包含了一個 session 標識，這個我們稱為 session id（擷取方法為 session_id() ），如果已包含一個 session id 則說明此用戶端之前已經建立過 session，伺服器則按照 session id 把這個 session 中的值檢索出來，如果用戶端不包含 session id，說明此用戶端第一次請求伺服器或手動清除過快取檔案，則為此用戶端建立一個 session 並且產生一個與此 session 相關聯的 session id，一般來說，session id 的值是不會重複的，並且加密的字串，這個 session id 將被在本次響應中返回給用戶端儲存。

session 在何時被建立 ？

通常（是指通常）是在瀏覽器向伺服器端第一次請求時被建立，並且它會佔用一定的記憶體空間，因此在不必要的情況下，盡最關閉 session 。

session 何時被刪除 ？

通常情況下，session 在會在這幾種情況下被刪除：

一是使用 session_destroy() 重設函數手動刪除；

二是 session 的上次啟用時間距離目前時間的間隔超過了 session 的逾時設定的時間；三是伺服器處理序被停止。

怎麼在瀏覽器關閉時刪除 session ？

理論上來說，是做不到這一點，http是一種無狀態協議，因此伺服器不知道用戶端什麼時候關掉的瀏覽器，並且PHP也沒有一個關相的函數來擷取此項資訊，但這個問題還可以得到解決，就是使用 網頁特效 代碼 window.oncolose 來監視瀏覽器的關閉動作，然後用Ajax向伺服器端發送一個請求來刪除 session ，但這個辦法也並不會完全解決問題，原因是在有些情況下比如瀏覽器崩潰、突然斷電、使用者死機等這些時候並不能作出反應。

如何設定使session在一段時間過後自動失效（刪除）？

session_start()是session機制的開始，它有一定機率開啟記憶體回收,因為session是存放在檔案中，PHP自身的記憶體回收是無效的，SESSION的回收（刪除）是要刪檔案的，這個機率是根據php.ini的配置決定的，但是有的系統是 session.gc_probability = 0，這也就是說機率是0，而是通過cron指令碼來實現記憶體回收（即刪除session）。

PHP中的session有效期間預設是1440秒（24分鐘，註：php5裡預設的是180分】，也就是說，用戶端超過24分鐘沒有重新整理，當前session就會失效。很明顯，這是不能滿足需要的。

一個已知管用的方法是，使用session_set_save_handler，接管所有的session管理工作，一般是把session資訊儲存到資料庫，這樣可以通過SQL語句來刪除所有到期的session，精確地控制session的有效期間。這也是基於PHP的大型網站常用的方法。但是，一般的小型網站，似乎沒有必要這麼勞師動眾。

但是一般的Session的生命期有限，如果使用者關閉了瀏覽器，就不能儲存Session的變數了！那麼怎麼樣可以實現Session的永久生命期呢？

大家知道，Session儲存在伺服器端，根據用戶端提供的SessionID來得到這個使用者的檔案，然後讀取檔案，取得變數的值，SessionID可以使用用戶端的Cookie或者Http1.1協議的Query_String（就是訪問的URL的“?”後面的部分）來傳送給伺服器，然後伺服器讀取Session的目錄。

要實現Session的永久生命期，首先需要瞭解一下php.ini關於Session的相關設定（開啟php.ini檔案，在“[Session]”部分）：

1、session.use_cookies：預設的值是“1”，代表SessionID使用Cookie來傳遞，反之就是使用Query_String來傳遞；

2、session.name：這個就是SessionID儲存的變數名稱，可能是Cookie，也可能是Query_String來傳遞，預設值是“PHPSESSID”；

3、session.cookie_lifetime：這個代表SessionID在用戶端Cookie儲存的時間，預設是0，代表瀏覽器一關閉SessionID就作廢……就是因為這個所以Session不能永久使用！

4、session.gc_maxlifetime：這個是Session資料在伺服器端儲存的時間，如果超過這個時間，那麼Session資料就自動刪除！

還有很多的設定，不過和本文相關的就是這些了，下面說下如何使用永久Session的原理和步驟。

前面說過，伺服器通過SessionID來讀取Session的資料，但是一般瀏覽器傳送的SessionID在瀏覽器關閉後就沒有了，那麼我們只需要人為的設定SessionID並且儲存下來，不就可以了。如果你擁有伺服器的操作許可權，那麼設定這個非常非常的簡單，只是需要進行如下的步驟：

1、把“session.use_cookies”設定為1，開啟Cookie儲存SessionID，不過預設就是1，一般不用修改；

2、把“session.cookie_lifetime”改為正無窮（當然沒有正無窮的參數，不過999999999和正無窮也沒有什麼區別）;

3、把“session.gc_maxlifetime”設定為和“session.cookie_lifetime”一樣的時間；

在PHP的文檔中明確指出，設定session有效期間的參數是session.gc_maxlifetime。可以在php.ini檔案中，或者通過ini_set()函數來修改這一參數。問題在於，經過多次測試，修改這個參數基本不起作用，session有效期間仍然保持24分鐘的預設值。

由於PHP的工作機制，它並沒有一個daemon線程，來定時地掃描session資訊並判斷其是否失效。當一個有效請求發生時，PHP會根據全域變數session.gc_probability/session.gc_divisor（同樣可以通過php.ini或者ini_set()函數來修改）的值，來決定是否啟動一個GC（Garbage Collector）。

預設情況下，session.gc_probability ＝ 1，session.gc_divisor ＝100，也就是說有1%的可能性會啟動GC。GC的工作，就是掃描所有的session資訊，用目前時間減去session的最後修改時間（modified date），同session.gc_maxlifetime參數進行比較，如果存留時間已經超過gc_maxlifetime，就把該session刪除。

到此為止，工作一切正常。那為什麼會發生gc_maxlifetime無效的情況呢？

在預設情況下，session資訊會以文字檔的形式，被儲存在系統的臨時檔案目錄中。在Linux下，這一路徑通常為\tmp，在Windows下通常為C:\Windows\Temp。當伺服器上有多個PHP應用時，它們會把自己的session檔案都儲存在同一個目錄中。同樣地，這些PHP應用也會按一定機率啟動GC，掃描所有的session檔案。

問題在於，GC在工作時，並不會區分不同網站的session。舉例言之，網站A的gc_maxlifetime設定為2小時，網站B的gc_maxlifetime設定為預設的24分鐘。當網站B的GC啟動時，它會掃描公用的臨時檔案目錄，把所有超過24分鐘的session檔案全部刪除掉，而不管它們來自於網站A或B。這樣，網站A的gc_maxlifetime設定就形同虛設了。

找到問題所在，解決起來就很簡單了。修改session.save_path參數，或者使用session_save_path()函數，把儲存session的目錄指向一個專用的目錄，gc_maxlifetime參數工作正常了。

嚴格地來說，這算是PHP的一個bug？

還有一個問題就是，gc_maxlifetime只能保證session生存的最短時間，並不能夠儲存在超過這一時間之後session資訊立即會得到刪除。因為GC是按機率啟動的，可能在某一個長時間內都沒有被啟動，那麼大量的session在超過gc_maxlifetime以後仍然會有效。

解決這個問題的一個方法是，把session.gc_probability/session.gc_divisor的機率提高，如果提到100%，就會徹底解決這個問題，但顯然會對效能造成嚴重的影響。另一個方法是自己在代碼中判斷當前session的存留時間，如果超出了 gc_maxlifetime，就清空當前session。

但是如果你沒有伺服器的操作許可權，那就比較麻煩了，你需要通過PHP程式改寫SessionID來實現永久的Session資料儲存。查查php.net的函數手冊，可以見到有“session_id”這個函數：如果沒有設定參數，那麼將返回當前的SessionID，如果設定了參數，就會將當前的SessionID設定為給出的值。

只要利用永久性的Cookie加上“session_id”函數，就可以實現永久Session資料儲存了！

但是為了方便，我們需要知道伺服器設定的“session.name”，但是一般使用者都沒有許可權查看伺服器的php.ini設定，不過PHP提供了一個非常好的函數“phpinfo”，利用這個可以查看幾乎所有的PHP資訊！

<?phpphpinfo();

開啟編輯器，輸入上面的代碼，然後在瀏覽器中運行這個程式，會見到PHP的相關資訊。其中有一項“session.name”的參數，這個就是我們需要的伺服器“session.name”，一般是“PHPSESSID”。

記下了SessionID的名稱後，我們就可以實現永久的Session資料儲存了！

<?phpsession_start();ini_set('session.save_path','/tmp/');//6個鐘頭ini_set('session.gc_maxlifetime',21600);//儲存一天$lifeTime = 24 * 3600;setcookie(session_name(), session_id(), time() + $lifeTime, "/");

另外對於設定php session的存留時間，網上看到有網友寫了一個很不錯的方法，這裡將代碼分享一下：

<?phpfunction start_session($expire=0){if($expire==0){$expire=ini_get('session.gc_maxlifetime');}else{ini_set('session.gc_maxlifetime',$expire);}if(empty($_COOKIE['PHPSESSID'])){session_set_cookie_params($expire);session_start();}else{session_start();setcookie('PHPSESSID',session_id(),time()+$expire);}}

使用方法也很簡單，例如：

<?php start_session(600);//600秒以後到期

後記：其實真正的永久儲存是不可能的，因為Cookie的儲存時間有限，而伺服器的空間也有限……但是對於一些需要儲存時間比較長的網站，以上方法就已經足夠了！