session是什么:
session即会话,是一种持续性,双向的连接。
session和cookie在本质上没什么区别,都是针对http协议的局限性提出的一种保持客户端和服务端会话状态的机制。
session的实现
1.cookie : 通过在cookie中存储sessionID
2.url重写:index.php?PHPSESID=01aab840166fd1dc253e3b4a3f0b8381
(通过session.use_cookies来控制使用哪一种方式)
session的工作原理:
sessionID实际上在客户端和服务器端是通过HTTP Request(发送cookie)和HTTP Response(设置cookie)传来传去。
sessionID通过一定的算法生成,保证唯一性和随机性,以确保session安全。
当sessionID销毁后,重新请求该页面,会重新注册一个sessionID,所以同一个浏览器和同一个服务器之间sessionID也是随机的。
session的保存:
默认文件的形式保存在服务器的/tmp下,文件名类似:sess_01aab840166fd1dc253e3b4a3f0b8381,后边是随机32位编码字符串。
格式:变量名|类型:长度:值,例如username|s:3:"lee";last_date|s:10:"2015-01-02";
session的使用:
session_start()必须在程序最开始执行,前边不能有任何输出,否则出现以下警告:
Warning:Cannot send session cookie - headers already send
解决:
办法1:在php.ini中修改session.auto_start = 1,自动开始,不需要session_start()
办法2(在不确定前边是否有输出的时候):
ob_start(); //开启output_buffering session_start(); $_SESSION["user"]="username"; ob_end_flush();
session的回收:
在php.ini中设置session.gc_maxlifetime,session的最大生存时间。
session的回收是通过检查/tmp/sess_xxx文件的最后修改时间和当前时间的差值。
如果”最后的修改时间”到”现在”超过了gc_maxlifetime(默认是1440)秒,这个session文件就被认为是过期了,在下一次session回收的时候,如果这个文件仍然没有被更
过,这个session文件就会被删除(session就过期了)。
默认情况下,每一次php请求,就会有1/100的概率发生回收,所以可能简单的理解为“每100次php请求就有一次回收发生”。这个概率是通过以下参数控制的
//概率是gc_probability/gc_divisor session.gc_probability = 1 //通过调大这个参数提高回收率,但太大了会增加负载 session.gc_divisor = 100
注意1:
假设这种情况gc_maxlifetime=120,如果某个session文件最后修改时间是120秒之前,那么在下一次回收(1/100的概率)发生前,这个session仍然是有效的。
保证精确的session删除时间方法:在session中记录最后登录时间,每次访问都判断是否超过时间,超过就退出,否则更新最后登录时间。
(这是面试时问题:怎样能保证session在20分钟过期?因为本身的gc回收是有一定概率的)
注 意2:
如果你的session使用session.save_path中使用别的地方保存session,session回收机制有可能不会自动处理过期 session文件。这时需要定时手动(或者crontab)删除过期的session
cd /path/to/sessions; find -cmin +24 | xargs rm