PHP下的session的生存週期

首先說一下session的建立的開始到結束的過程。

當程序須要爲某個客戶端的請求建立一個 session 的時候，服務器首先會檢查這個客戶端是否已經包含了一個 session 標識，這個咱們稱爲 session id（獲取方法爲 session_id() ），若是已包含一個 session id 則說明此客戶端以前已經建立過 session，服務器則按照 session id 把這個 session 中的值檢索出來，若是客戶端不包含 session id，說明此客戶端第一次請求服務器或手動清除過緩存文件，則爲此客戶端建立一個 session 而且生成一個與此 session 相關聯的 session id，通常來講，session id 的值是不會重複的，而且加密的字符串，這個 session id 將被在本次響應中返回給客戶端保存。

session 在什麼時候被建立 ？

一般（是指一般）是在瀏覽器向服務器端第一次請求時被建立，而且它會佔用必定的內存空間，所以在沒必要要的狀況下，盡最關閉 session 。

session 什麼時候被刪除 ？

一般狀況下，session 在會在這幾種狀況下被刪除：

一是使用 session_destroy() 重置函數手動刪除；

二是 session 的上次活動時間距離當前時間的間隔超過了 session 的超時設置的時間；三是服務器進程被中止。

怎麼在瀏覽器關閉時刪除 session ？

理論上來講，是作不到這一點，http是一種無狀態協議，所以服務器不知道客戶端何時關掉的瀏覽器，而且PHP也沒有一個關相的函數來獲取此項信息，但這個問題還能夠獲得解決，就是使用 網頁特效 代碼 window.oncolose 來監視瀏覽器的關閉動做，而後用Ajax向服務器端發送一個請求來刪除 session ，但這個辦法也並不會徹底解決問題，緣由是在有些狀況下好比瀏覽器崩潰、忽然斷電、用戶死機等這些時候並不能做出反應。

如何設置使session在一段時間事後自動失效（刪除）？

session_start()是session機制的開始，它有必定機率開啓垃圾回收,由於session是存放在文件中，PHP自身的垃圾回收是無效的，SESSION的回收（刪除）是要刪文件的，這個機率是根據php.ini的配置決定的，可是有的系統是 session.gc_probability = 0，這也就是說機率是0，而是經過cron腳原本實現垃圾回收（即刪除session）。

PHP中的session有效期默認是1440秒（24分鐘，注：php5裏默認的是180分】，也就是說，客戶端超過24分鐘沒有刷新，當前session就會失效。很明顯，這是不能知足須要的。

一個已知管用的方法是，使用session_set_save_handler，接管全部的session管理工做，通常是把session信息存儲到數據庫，這樣能夠經過SQL語句來刪除全部過時的session，精確地控制session的有效期。這也是基於PHP的大型網站經常使用的方法。可是，通常的小型網站，彷佛沒有必要這麼勞師動衆。

可是通常的Session的生命期有限，若是用戶關閉了瀏覽器，就不能保存Session的變量了！那麼怎麼樣能夠實現Session的永久生命期呢？

你們知道，Session儲存在服務器端，根據客戶端提供的SessionID來獲得這個用戶的文件，而後讀取文件，取得變量的值，SessionID可使用客戶端的Cookie或者Http1.1協議的Query_String（就是訪問的URL的「?」後面的部分）來傳送給服務器，而後服務器讀取Session的目錄。

要實現Session的永久生命期，首先須要瞭解一下php.ini關於Session的相關設置（打開php.ini文件，在「[Session]」部分）：

一、session.use_cookies：默認的值是「1」，表明SessionID使用Cookie來傳遞，反之就是使用Query_String來傳遞；

二、session.name：這個就是SessionID儲存的變量名稱，多是Cookie，也多是Query_String來傳遞，默認值是「PHPSESSID」；

三、session.cookie_lifetime：這個表明SessionID在客戶端Cookie儲存的時間，默認是0，表明瀏覽器一關閉SessionID就做廢……就是由於這個因此Session不能永久使用！

四、session.gc_maxlifetime：這個是Session數據在服務器端儲存的時間，若是超過這個時間，那麼Session數據就自動刪除！

還有不少的設置，不過和本文相關的就是這些了，下面說下如何使用永久Session的原理和步驟。

前面說過，服務器經過SessionID來讀取Session的數據，可是通常瀏覽器傳送的SessionID在瀏覽器關閉後就沒有了，那麼咱們只須要人爲的設置SessionID而且保存下來，不就能夠了。若是你擁有服務器的操做權限，那麼設置這個很是很是的簡單，只是須要進行以下的步驟：

一、把「session.use_cookies」設置爲1，打開Cookie儲存SessionID，不過默認就是1，通常不用修改；

二、把「session.cookie_lifetime」改成正無窮（固然沒有正無窮的參數，不過999999999和正無窮也沒有什麼區別）;

三、把「session.gc_maxlifetime」設置爲和「session.cookie_lifetime」同樣的時間；

在PHP的文檔中明確指出，設定session有效期的參數是session.gc_maxlifetime。能夠在php.ini文件中，或者經過ini_set()函數來修改這一參數。問題在於，通過屢次測試，修改這個參數基本不起做用，session有效期仍然保持24分鐘的默認值。

因爲PHP的工做機制，它並無一個daemon線程，來定時地掃描session信息並判斷其是否失效。當一個有效請求發生時，PHP會根據全局變量session.gc_probability/session.gc_divisor（一樣能夠經過php.ini或者ini_set()函數來修改）的值，來決定是否啓動一個GC（Garbage Collector）。

默認狀況下，session.gc_probability ＝ 1，session.gc_divisor ＝100，也就是說有1%的可能性會啓動GC。GC的工做，就是掃描全部的session信息，用當前時間減去session的最後修改時間（modified date），同session.gc_maxlifetime參數進行比較，若是生存時間已經超過gc_maxlifetime，就把該session刪除。

到此爲止，工做一切正常。那爲何會發生gc_maxlifetime無效的狀況呢？

在默認狀況下，session信息會以文本文件的形式，被保存在系統的臨時文件目錄中。在Linux下，這一路徑一般爲\tmp，在Windows下一般爲C:\Windows\Temp。當服務器上有多個PHP應用時，它們會把本身的session文件都保存在同一個目錄中。一樣地，這些PHP應用也會按必定機率啓動GC，掃描全部的session文件。

問題在於，GC在工做時，並不會區分不一樣站點的session。舉例言之，站點A的gc_maxlifetime設置爲2小時，站點B的gc_maxlifetime設置爲默認的24分鐘。當站點B的GC啓動時，它會掃描公用的臨時文件目錄，把全部超過24分鐘的session文件所有刪除掉，而無論它們來自於站點A或B。這樣，站點A的gc_maxlifetime設置就形同虛設了。

找到問題所在，解決起來就很簡單了。修改session.save_path參數，或者使用session_save_path()函數，把保存session的目錄指向一個專用的目錄，gc_maxlifetime參數工做正常了。

嚴格地來講，這算是PHP的一個bug？

還有一個問題就是，gc_maxlifetime只能保證session生存的最短期，並不可以保存在超過這一時間以後session信息當即會獲得刪除。由於GC是按機率啓動的，可能在某一個長時間內都沒有被啓動，那麼大量的session在超過gc_maxlifetime之後仍然會有效。

解決這個問題的一個方法是，把session.gc_probability/session.gc_divisor的機率提升，若是提到100%，就會完全解決這個問題，但顯然會對性能形成嚴重的影響。另外一個方法是本身在代碼中判斷當前session的生存時間，若是超出了 gc_maxlifetime，就清空當前session。

可是若是你沒有服務器的操做權限，那就比較麻煩了，你須要經過PHP程序改寫SessionID來實現永久的Session數據保存。查查php.net的函數手冊，能夠見到有「session_id」這個函數：若是沒有設置參數，那麼將返回當前的SessionID，若是設置了參數，就會將當前的SessionID設置爲給出的值。

只要利用永久性的Cookie加上「session_id」函數，就能夠實現永久Session數據保存了！

可是爲了方便，咱們須要知道服務器設置的「session.name」，可是通常用戶都沒有權限查看服務器的php.ini設置，不過PHP提供了一個很是好的函數「phpinfo」，利用這個能夠查看幾乎全部的PHP信息！

<?php
phpinfo();

打開編輯器，輸入上面的代碼，而後在瀏覽器中運行這個程序，會見到PHP的相關信息。其中有一項「session.name」的參數，這個就是咱們須要的服務器「session.name」，通常是「PHPSESSID」。

記下了SessionID的名稱後，咱們就能夠實現永久的Session數據儲存了！

<?php
session_start();
ini_set('session.save_path','/tmp/');
//6個鐘頭
ini_set('session.gc_maxlifetime',21600);
//保存一天
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");

另外對於設置php session的生存時間，網上看到有網友寫了一個很不錯的方法，這裏將代碼分享一下：

<?php
function start_session($expire=0){
	if($expire==0){
		$expire=ini_get('session.gc_maxlifetime');
	}else{
		ini_set('session.gc_maxlifetime',$expire);
	}
	if(empty($_COOKIE['PHPSESSID'])){
		session_set_cookie_params($expire);
		session_start();
	}else{
		session_start();
		setcookie('PHPSESSID',session_id(),time()+$expire);
	}
}

使用方法也很簡單，例如：

<?php start_session(600);//600秒之後過時

後記：其實真正的永久儲存是不可能的，由於Cookie的保存時間有限，而服務器的空間也有限……可是對於一些須要保存時間比較長的站點，以上方法就已經足夠了！