亚洲乱码卡一卡二卡三永久-亚洲乱码一二三四区-亚洲乱码一区二区三区在线观看-亚洲伦理一区-成人在色线视频在线观看免费大全-成人在线91

http協(xié)議是WEB服務(wù)器與客戶 端(瀏覽器)相互通信的協(xié)議，它是一種無狀態(tài)協(xié)議。所謂無狀態(tài)，指的是不會維護(hù)http請求數(shù)據(jù)，http請求是獨(dú)立的，非持久的。而越來越復(fù)雜的WEB 應(yīng)用，需要保存一些用戶狀態(tài)信息。這時候，Session這種方案應(yīng)需而生。PHP從4.1開始支持Session管理。

session是很抽象的一個概念。我們不妨先從與它幾個息息相關(guān)的有跡可尋的小切入點(diǎn)入手，然后逐漸地認(rèn)識了解它。

session存儲

首先，我們?yōu)槭裁葱枰猄ession，就是因?yàn)槲覀冃枰鎯Ω鱾€用戶的狀態(tài)數(shù)據(jù)。那么試問，如果由你來設(shè)計(jì)解決這個需求的方案，那么也許你會設(shè)置這樣一個數(shù)據(jù)表用與存儲各個用戶的狀態(tài)信息：
uid : 用戶唯一標(biāo)識符，區(qū)分其它用戶

created : 記錄產(chǎn)生時間

data : 存放與用戶相關(guān)的數(shù)據(jù)

max_age : 記錄的有效時間

同樣地，PHP設(shè)計(jì)管理session方案也大致如此，它分別包含了以下信息:

1. session id
      用戶session唯一標(biāo)識符，隨機(jī)生成的一串字符串，具有唯一性，隨機(jī)性。主要用于區(qū)分其它用戶的session數(shù)據(jù)。用戶第一次訪問web頁面的時候，php的session初始化函數(shù)調(diào)用會分配給當(dāng)前來訪用戶一個唯一的ID，也稱之為session_id。

2. session data
      我們把需要通過session保存的用戶狀態(tài)信息，稱為用戶session數(shù)據(jù)，也稱為session數(shù)據(jù)。

3. session file
      PHP 默認(rèn)將session數(shù)據(jù)存放在一個文件里。我們把存放session數(shù)據(jù)的文件稱為session文件。它由特殊的php.ini設(shè)置 session.save_path指定session文件的存放路徑，CentOS5.3操作系統(tǒng)，PHP5.1默認(rèn)存放在/var/lib/php /session目錄中。用戶session文件的名稱，就是以sess_為前綴，以session_id為結(jié)尾命名，比如session id為vp8lfqnskjvsiilcp1c4l484d3，那么session文件名就是 sess_vp8lfqnskjvsiilcp1c4l484d3

4. session lifetime
我們把初始化session開始，直到注銷session這段期間，稱為session生命周期，這樣有助于我們理解session管理函數(shù)。

由 此，我們可見: 當(dāng)每個用戶訪問web, PHP的session初始化函數(shù)都會給當(dāng)前來訪用戶分配一個唯一的session ID。并且在session生命周期結(jié)束的時候，將用戶在此周期產(chǎn)生的session數(shù)據(jù)持久到session文件中。用戶再次訪問的時 候，session初始化函數(shù)，又會從session文件中讀取session數(shù)據(jù)，開始新的session生命周期。

與session存儲相關(guān)php.ini設(shè)置

1. session.save_handler = file
用于讀取/回寫session數(shù)據(jù)的方式，默認(rèn)是files。它會讓PHP的session管理函數(shù)使用指定的文本文件存儲session數(shù)據(jù)

2. session.save_path =“/var/lib/php/session”
指 定保存session文件的目錄，可以指定到別的目錄，但是指定目錄必須要有httpd守護(hù)進(jìn)程屬主(比如apache或www等)寫權(quán)限，否則無法回存 session數(shù)據(jù)。當(dāng)指定目錄不存在時，php session環(huán)境初始化函數(shù)是不會幫你創(chuàng)建指定目錄的，所以需要你手工建立指定目錄。
它還可以寫成這樣session.save_path =“N;/path” 其中N是整數(shù)。這樣使得不是所有的session文件都保存在同一個目錄中，而是分散在不同目錄。這對于服務(wù)器處理大量session文件是很有幫助的。(注:目錄需要自己手工創(chuàng)建)

3. session.auto_start = 0
如果啟用該選項(xiàng)，用戶的每次請求都會初始化session。我們推薦不啟用該設(shè)置，最好通過session_start()顯示地初始化session。

Session同步數(shù)據(jù)

一 旦調(diào)用了session_start()初始化session，就意味著開始了一個session生命周期。也就是宣布了，可以使用相關(guān)函數(shù)操 作$_SESSION來管理session數(shù)據(jù)。這個session生命周期產(chǎn)生的數(shù)據(jù)并沒有實(shí)時地寫入session文件，而是通過$_SESSION 變量寄存在內(nèi)存中。那么，寄存在內(nèi)存的數(shù)據(jù)什么時候會寫入到session文件？這也是我們這一小節(jié)的主要測試內(nèi)容。

在進(jìn)行測試之前，先讓我們介紹幾個影響session數(shù)據(jù)的PHP函數(shù)、或事件

1. session_start()
      函數(shù)session_start會初始化session，也標(biāo)識著session生命周期的開始。要使用session，必須初始化一個session環(huán)境。有點(diǎn)類似于OOP概念中調(diào)用構(gòu)造函數(shù)構(gòu)創(chuàng)建對象實(shí)例一樣。
session 初始化操作，聲明一個全局?jǐn)?shù)組$_SESSION，映射寄存在內(nèi)存的session數(shù)據(jù)。如果session文件已經(jīng)存在，并且保存有session數(shù) 據(jù)，session_start()則會讀取session數(shù)據(jù)，填入$_SESSION中，開始一個新的session生命周期。

2. $_SESSION
      它是一個全局變量，類型是Array,映射了session生命周期的session數(shù)據(jù)，寄存在內(nèi)存中。在session初始化的時候，從session文件中讀取數(shù)據(jù)，填入該變量中。在session生命周期結(jié)束時，將$_SESSION數(shù)據(jù)寫回session文件。

3. session_register()
      在 session生命周期內(nèi)，使用全局變量名稱將注全局變量注冊到當(dāng)前session中。所謂注冊，就是將變量填入$_SESSION中，值為NULL。它 不會對session文件進(jìn)行任何IO操作，只是影響$_SESSION變量。注意，它的正確寫法是 session_register(‘varname’)，而不是session_register($varname)

4. session_unregister()
      與session_register操作正好相反，即在session生命周期,從當(dāng)前session注銷指定變量。同樣只影響$_SESSION，并不進(jìn)行任何IO操作。

5. session_unset()
      在 session生命周期，從當(dāng)前session中注銷全部session數(shù)據(jù)，讓$_SESSION成為一個空數(shù)組。它與 unset($_SESSION)的區(qū)別在于:unset直接刪除$_SESSION變量，釋放內(nèi)存資源;另一個區(qū)別在 于，session_unset()僅在session生命周期能夠操作$_SESSION數(shù)組，而unset()則在整個頁面(page)生命周期都能 操作$_SESSION數(shù)組。session_unset()同樣不進(jìn)行任何IO操作，只影響$_SESSION數(shù)組。

6. session_destroy()
如果說session_start()初始化一個session的話，而它則注銷一個session。意味著session生命周期結(jié)束了。在 session生命周期結(jié)整后，session_register, session_unset, session_register都將不能操作$_SESSION數(shù)組，而$_SESSION數(shù)組依然可以被unset()等函數(shù)操作。這 時，session意味著是未定義的，而$_SESSION依然是一個全局變量，他們脫離了關(guān)映射關(guān)系。
通過session_destroy()注銷session,除了結(jié)束session生命周期外，它還會刪除sesion文件，但不會影響當(dāng)前$_SESSION變量。即它會產(chǎn)生一個IO操作。

7. session_regenerate_id()
      調(diào) 用它，會給當(dāng)前用戶重新分配一個新的session id。并且在結(jié)束當(dāng)前頁面生命周期的時候，將當(dāng)前session數(shù)據(jù)寫入session文件。前提是，調(diào)用此函數(shù)之前，當(dāng)前session生命周期沒有被 終止（參考第9點(diǎn)）。它會產(chǎn)生一個IO操作，創(chuàng)建一個新的session文件，創(chuàng)建新的session文件的是在session結(jié)束之前，而不是調(diào)用此函 數(shù)就立即創(chuàng)建新的session文件。

8. session_commit()
      session_commit() 函數(shù)是session_write_close()函數(shù)的別名。它會結(jié)束當(dāng)前session的生命周期，并且將session數(shù)據(jù)立即強(qiáng)制寫入 session文件。不推薦通過session_commit()來手工寫入session數(shù)據(jù)，因?yàn)镻HP會在頁面生命周期結(jié)束的時候，自動結(jié)束當(dāng)前沒 有終止的session生命周期。它會產(chǎn)生一個IO寫操作

9. end session
      結(jié) 束session，默認(rèn)是在頁面生命周期結(jié)束的之前，PHP會自動結(jié)束當(dāng)前沒有終止的session。但是還可以通過session_commit()與 session_destroy()二個函數(shù)提前結(jié)束session。不管是哪種方式，結(jié)束session都會產(chǎn)生IO操作，分別不一樣。默認(rèn)情況，產(chǎn)生 一個IO寫操作，將當(dāng)前session數(shù)據(jù)寫回session文件。session_commit()則是調(diào)用該函數(shù)那刻，產(chǎn)生一個IO寫操作，將 session數(shù)據(jù)寫回session文件。而session_destroy()不一樣在于，它不會將數(shù)據(jù)寫回session文件，而是直接刪除當(dāng)前 session文件。有趣的是，不管是session_commit()，還是session_destroy()都不會清空$_SESSION數(shù)組，更 不會刪除$_SESSION數(shù)組，只是所有session_*函數(shù)不能再操作session數(shù)據(jù)，因?yàn)楫?dāng)前的session生命周期終止了，即不能操作一 個未定義對象。

為了驗(yàn)證以上陳述，我們可以做以下測試
      任務(wù)1: 觀察session初始化與默認(rèn)結(jié)束session的時候，產(chǎn)生的IO操作

[root@localhost ~]# strace -p `cat /var/run/httpd.pid`

      藍(lán)色加粗，通過系統(tǒng)內(nèi)核函數(shù)open調(diào)用打開session文件，這是由session_start()產(chǎn)生的調(diào)用，
      注意這里并沒有產(chǎn)生讀文件操作。紅色部分，將一個空字符串寫入session文件。
      由此可見session初始化在頁面生命周期開始之時，手工調(diào)用session_start可以初始化session文件，
      而在頁面生命周期結(jié)束之時，會自動地注銷session，結(jié)束當(dāng)前session生命周期，
      同時在此周期產(chǎn)生的session數(shù)據(jù)寫回session文件，我們把這種方式結(jié)束的session，稱為session默認(rèn)結(jié)束。 

任務(wù)2:  觀察session_register()查看它是否會產(chǎn)生磁盤操作，還是只操作$_SESSION。

通 過上面的觀察，藍(lán)色部分還是由session初始化(session_start)產(chǎn)生，注意這里依然沒讀文件操作，這是因?yàn)閟ession文件為空。紅 色部分，依然是默認(rèn)結(jié)束session產(chǎn)生的文件寫操作(pwrite)。由此，我們可以知道session_register()不會對session 文件操作，即不會把$_SESSION中的數(shù)據(jù)寫回session文件,它沒有產(chǎn)生任何IO操作。而只在session生命周期是影響當(dāng) 前$_SESSION變量，即$_SESSION[‘pg_uuid’] = NULL。所以，推薦使用$_SESSION[‘pg_uuid’] = $pg_uuid;

任務(wù)3:  觀察session_destroy()與session_unset()的區(qū)別

藍(lán) 色部分是我們熟悉的session初始化的時候產(chǎn)生的open系統(tǒng)內(nèi)核調(diào)用。綠色部分，是一個IO讀操作，因?yàn)樯弦淮卧L問頁面的時候，產(chǎn)生了 session數(shù)據(jù)，所以這一次會將上次的session填入$_SESSION中。紅色部分，可以看出，這里調(diào)用unlink刪除session文件， 而且后面(頁面生命周期結(jié)束時),一直沒有看到前兩例看到的任何與session文件有關(guān)的IO寫操作，即沒有將$_SESSION中的數(shù)據(jù)寫回 session文件。我們也沒有在session.save_path找到相應(yīng)的session文件

[root@localhost html]# ls /var/lib/php/session/sess_4j38nv7l1fq1bj6n80l6g9cum5  ls: /var/lib/php/session/sess_4j38nv7l1fq1bj6n80l6g9cum5: No such file or directory

注意: 雖然刪除了session文件，但用戶再次訪問web的時候，并不會給用戶重新分配一個新的session id，而是依然用該session id，并且會重新創(chuàng)建文件名相同的session文件，即sess_SESSION-ID

任務(wù)4: 測試并觀察session_regenerate_id行為，以及$_SESSION的變化

觀 察測試結(jié)果,藍(lán)色部分照舊是session初始化的時候產(chǎn)生的系統(tǒng)內(nèi)核open調(diào)用,接著綠色部分是一個IO讀操作，即讀取session文件中的數(shù)據(jù)， 由第一個var_dump($_SESSION)輸出。隨后，往session加入新的一條已定義了的session記錄，并且通過 session_commit()將記錄寫回去。紅色部分就是由session_commit產(chǎn)生的一次IO寫操作。之 后，session_unset()并沒有生效，同時，我們也沒有在頁面生命周期結(jié)束的時候看到任何與session文件有關(guān)的IO寫操作。這也正說明 了,session_commit()調(diào)用的當(dāng)下，就會將session數(shù)據(jù)寫回session文件，并且會像session_destroy一樣注銷 session，但與session_destroy不同的時，session_commit不會刪除session文件，而且會將當(dāng)前的session 數(shù)據(jù)寫回session文件。我們可以查看，調(diào)用session_commit之后，session文件還是依然存在的

[root@localhost html]# ls -lt /var/lib/php/session 

 -rw------- 1 apache apache 31 Apr 11 03:18 sess_qoa6knu9fg77un8le99o1vk1c7  

 -rw------- 1 apache apache 11 Apr 11 00:08 sess_4j38nv7l1fq1bj6n80l6g9cum5  …

總結(jié)：

1, 用戶注銷web應(yīng)用系統(tǒng)，最好的調(diào)用方式依次是 session_unset();  session_destroy();  unset($_SESSION); 
2, 盡量將鍵與值填入$_SESSION，而不推薦使用session_register()。同樣，盡量使用unset($_SESSION[‘var’])，而不使用session_unregister()。

3, 對于可能產(chǎn)生大量session的WEB應(yīng)用，推薦使用的session.save_path的格式是session.save_path=”N:/path”。注意:這些目錄需要手工創(chuàng)建，并且有httpd守護(hù)進(jìn)程屬主寫權(quán)限。這樣做可以獲得更好的性能

4, 如果調(diào)用了session_regenerate_id()給用戶分配了新的session id。該函數(shù)并不會主動刪除舊的session文件，需要定時清理舊的session文件，這樣更優(yōu)化。

5, 盡量不要使用session_commit()提交sessioin數(shù)據(jù)，因?yàn)樗瑫r會結(jié)束當(dāng)前session，PHP默認(rèn)會在頁面生命周期的時候提交session數(shù)據(jù)到session文件

Session ID傳遞

session 終究是因?yàn)楣芾碛脩魻顟B(tài)信息才存在的。我們曾探討過session id的意義：每個來訪問用戶都會被分配一個唯一的session id，用于區(qū)分其它用戶的session數(shù)據(jù)。換句話說,session id是用戶表明身份的一種標(biāo)識，就像入場券一樣。用戶一旦從被分配了session id之后的每次訪問(http請求)都會攜帶這個session id給服務(wù)端，用于加載該用戶的session數(shù)據(jù)。那么，通過什么方式傳給服務(wù)端？這是我們這節(jié)探討的內(nèi)容。

用 戶端與服務(wù)端的web通信協(xié)議是http。而PHP通過http取得用戶數(shù)據(jù)慣用的三種方法分別是:POST方法、GET方法還有Cookie。而PHP 默認(rèn)傳遞方法正是Cookie,也是最佳方法。只有在客戶端不支持Cookie的時候(瀏覽器禁用了Cookie功能)才會通過GET方法來傳遞 session_id，即通過在URL的query_string部分傳遞session id。

確 定了傳遞方法，我們還有必要清楚一下session id的傳遞過程。用戶通過瀏覽器訪問網(wǎng)頁，將URL輸入地址欄回車，瀏覽器發(fā)出請求，在調(diào)用sockect send之前瀏覽器引擎會搜索有效的Cookies記錄封裝在http請求頭的Cookie字段,一同發(fā)送出去。服務(wù)端器接收到請求后，交給PHP處理。 這時,session初始化函數(shù)如果在$_COOKIE中沒有找到以session_name()作為鍵值存儲的生素(值為session id)，則會以為用戶是第一次訪問web。作為第一次訪問的用戶，session初始化函數(shù)總會隨機(jī)生成一個session_id并且通過 setcookie()函數(shù)調(diào)用將新生成的session_id以”sesseson_name = session_id”的格式填入http響應(yīng)頭Set-Cookie字段，發(fā)送給客戶端（這樣接下來的請求，http請求頭Cookie字段都會攜帶該 Cookie記錄給web服務(wù)器）。如果初始化函數(shù)發(fā)現(xiàn)用戶端Cookies中已定義了存在$_COOKIE[‘sess_name’]，則會加載 與$_COOKIE[‘sess_name’]相對應(yīng)的session文件($_COOKIE[‘sess_name’]就是session ID)。如果用戶Cookie記錄過期，則會被瀏覽器刪除。之后的下一次請求，服務(wù)器會以為用戶又是第一次訪問,如此循環(huán)。

讓我們通過測與來驗(yàn)證以上的陳述

第 一次訪問/a.php的時候,請求包里面沒有設(shè)置任何Cookie，所以這里的Cookie字段為空。當(dāng)然服務(wù)器php也就得不到 的$_COOKIE[‘PHPSESSID’](即session id為空)。如此，服務(wù)器會以為用戶是第一次訪問web。所以session初始化的時候，會給用戶分配一個唯一的session_id并且以 Cookie的方法傳回給了用戶端。

我們再來觀察第二次請求與響應(yīng),會有哪些變化:

首 先，我們觀察http請求，加紅色部分是第一次http請求頭沒有出現(xiàn)的內(nèi)容。我們可以看到，該Cookie正是第一次訪問,服務(wù)端通過Set- Cookie要求瀏覽器設(shè)置的Cookie。它們是一樣的,即session_id為bk7655dqrm5m884c9nitfi7j00。然后，我們 再觀察這次的http響應(yīng)，明顯沒有再要求用戶端設(shè)置鍵為session_name()的Cookie了。

我們再來測試偽造一個session_id發(fā)送給服務(wù),觀察服務(wù)端響應(yīng)。我們寫一個測試腳本，如下:

抓到的http請求、響應(yīng)數(shù)據(jù)包如下:

      上面的session_id是用戶端偽造的一個值,它并不實(shí)際存在。收到這樣的請求，服務(wù)端并沒有檢查，而是以這個session_id創(chuàng)建了相應(yīng)的 session文件。并且，從httpd響應(yīng)頭部信息來看，并沒給用戶端分配session id(沒有Set-Cookie)。由此,我們可以推斷:只要http請求頭部包含了以session_name()作為鍵值的Cookie,那么服務(wù)端 就不認(rèn)為用戶是第一次訪問web,亦不會給客戶端分配session_id。否則，分配新的session_id,并通過Set-Cookie要求瀏覽器 創(chuàng)建該Cookie.
我們再來觀察一下，通過session_regenerate_id()函數(shù)給用戶分配一個新的session_id的情況

##
上 面可以觀察得到,http請求頭Cookie部分帶了session id，并且這個session_id還是用戶第一次訪問web時被分配得到的。這一次，http響應(yīng)頭跟第二次示例http響應(yīng)有些不一樣,而是像第一次 訪問那樣通過Set-Cookie去要求用戶端瀏覽器更新用戶的session id。這意味著:session_genrate_id()給用戶端重新生成的session id也是通過Cookie的方法傳遞。

1，User01和User02第一次去訪問/p1.php，分別被分配了一個session id。

2，User01和User02第二次訪問web，都會使用由/p1.php分配的session_id

3，User01 因?yàn)樵L問了/p2.php,腳本/p2.php中的session_regenerate_id()給用戶User01重新分配了一個新 session_id，從用戶User01第4次訪問的session_id就可以看得出來，與前面幾幾次的session_id不同了。

4，User02因?yàn)闆]有訪問/p2.php，也就沒有被服務(wù)端重新分配session id，一下沿用著上一次分配的session_id與session id傳遞的有關(guān)的php.ini設(shè)置

1,session.use_cookie = 1
是否采用Cookie方法傳遞session id值。默認(rèn)是1，表示啟用。

2,session.name = PHPSESSID
不 管是Cookie傳遞sessioin_id，還是GET方法傳遞session_id，都需要使用鍵值。他們的格式分別是Cookie:  sess_name=session_id;和/path.php?sess_name=session_id，其中sess_name就是由這里指定的

3,session.use_only_cookies = 0
表 示只使用Cookie 的方法傳遞session id。我們說過，傳遞cookie的方法，除了cookie，還有GET方法，GET方法是不安全的方法。在用戶端禁用了cookie的時候，會采用 GET方法傳遞session_id，可以通過這個設(shè)置盡用GET方法傳遞session_id。

4，session.cookie_lifetime = 0, session.cookie_path = / 以及session.cookie_domain =
如 果使用Cookie方法傳遞session_id的話，這里分別指定了cookie有效域、目錄和時間。分別對應(yīng)setcookie()函數(shù)的形 參$expire、$path和$domain。其中cookie_lifetime=0表示直到關(guān)閉瀏覽器才刪除Cookie。還可以使用 session_set_cookie_params()函數(shù)修改這些值。

5,session_name([string $name])
獲 取或更新session_name。如果傳了name，則表示不使用默認(rèn)的名稱PHPSESSID(由session.name)指定，否則獲取當(dāng)前 session_name。注意:如果設(shè)置session_name，則必須在session_start()之前調(diào)用才生效。

6,session_id([string $id])
與session_name()類似，但它是讀取或者設(shè)置session_id的方法。同樣，設(shè)置session_id的話，必須在session_start()之前調(diào)用才有效。

7,session_set_cookie_params()和session_get_cookie_params()
通 過session_set_cookie_params()可以重新設(shè)定session.cookie_lifetime, session.cookie_path以及session.cookie_domain這三個php.ini設(shè)置。而 session_get_cookie_params()則是獲取這些設(shè)定的值。

Session回收

通過上文幾節(jié)介紹，我們知道session數(shù)據(jù)存放在服務(wù)端指定的session.save_path目錄中，同時會在用戶端存放一條Cookie用以記錄分配給用戶的session id。所以，session數(shù)據(jù)失效分服務(wù)端和客戶端，要刪除(回收)的對象也很清楚:
1，服務(wù)端:刪除過期的session文件，啟動PHP GC回收。
2，用戶端:使存儲了過期session_id的用戶端Cookie記錄過期。通過將Cookie的Expire設(shè)置為負(fù)值，要求客戶端刪除Cookie。
服務(wù)端:刪除過期的session文件
PHP GC進(jìn)程被啟動以后，則會掃描session.save_path，找出過期的session，并刪除該session文件。所謂，過期的 session，是指操作系統(tǒng)當(dāng)前時間與session文件最后訪問時間之差大于session.gc_maxlifetime的話，該session認(rèn) 為是過期了。注意:有時候，你會發(fā)現(xiàn)，即便是文件過期了，有可能也沒有被及時地刪除掉。這是因?yàn)椋看蝧ession初始化的時候，并不會都啟動PHP GC進(jìn)程的，啟動GC進(jìn)程會大大降低php的運(yùn)行效率。所有一個啟動概率，這個概率由php.ini設(shè)定session.gc_probability / session.gc_divisor二個設(shè)置決定，默認(rèn)概率是1%(1/1000)。這意味著，每1000次用戶請求中,會啟動1次PHP GC回收session文件。比如，我們下面看到的，過期的session文件依然存在:

# date;find /var/lib/php/session -type f -atime -1440 -print |xargs ls -lt  

-rw------- 1 apache apache  0 Apr 12 20:01 /var/lib/php/session/sess_5tlaq5a8im3ob1bikn62motpv7  

-rw------- 1 apache apache  0 Apr 12 19:39 /var/lib/php/session/sess_f7q6jfdug4ekfsjhop6jftgna7  

-rw------- 1 apache apache  0 Apr 12 17:03 /var/lib/php/session/sess_dk7655dqrm5m884c9nitfi7j00

我們可以通過編輯設(shè)置，來驗(yàn)證啟動php session的GC機(jī)制

從 上面藍(lán)色部分可以看出,通過用stat64檢查session文件的狀態(tài),如果發(fā)現(xiàn)過期了,則會通過調(diào)用系統(tǒng)內(nèi)核函數(shù)ulink()刪除過期的 session文件。可見,session初始化的時候會啟動GC, GC會掃描session.save_path中的所有session文件,查看他們狀態(tài)并且將過期的文件刪除。正因?yàn)槿绱耍阅J(rèn)設(shè)置啟動的概率是 1/1000。

客戶端:刪除過期session id的cookie記錄
如 果用戶發(fā)現(xiàn)session已經(jīng)過期，但是服務(wù)端的GC還沒有啟動，服務(wù)端可以手通過手工代碼setcookie的方式要求用戶端瀏覽器刪除鍵值為 session_name()的Cookie記錄。這樣，下回訪問的時候，瀏覽器以為用戶是第一次訪問，并且重新給訪問用戶分配一個新的 session_id。較好的做法類似這樣:

   
上面觀察可以知道,通過訪問/session_destroy.php,它要求客戶端將session_id的Cookie記錄刪除。而接下來訪問 /p1.php的時候，http請求頭沒有通過Cookie將用戶的session id帶給服務(wù)器(因?yàn)閯偙灰髣h除)。而第二次請求/p1.php的http響應(yīng)里頭可以看到,服務(wù)端又給用戶重新分配了一個新的session id,而且不會繼續(xù)使用過去的session數(shù)據(jù)。

與session回收相關(guān)的php.ini設(shè)置:

1, session.gc_probability和session.gc_divisor
由 這二個函數(shù)決定了啟用GC的概率,默認(rèn)是1/1000。也就是說,每一千次用戶請求中有一次會啟動GC回收session。啟動GC進(jìn)程不宜過于頻繁。上 面的例子,我們可以看到,它會每次檢查session.save_path目錄下每個文件的狀態(tài)。這樣會降低php的執(zhí)行效率。

2, session.gc_maxlifetime = 1440
設(shè)置session存活時間，單位是秒。每次GC啟動后, 會通過stat得到session文件最后訪問的unix時間,通過現(xiàn)在時間減去文件最后訪問時間之間大于session.gc_maxlifetime,則會刪除該文件。

總結(jié)

1, PHP使用Cookie的方法傳遞session id。盡量不要使用GET方法傳遞session id,因?yàn)檫@樣很不安全。

2, 可以通過setcookie()的方法,將客戶端的session id的Cookie記錄刪除。

3, PHP GC進(jìn)程由session初始化啟動。但不是每一次用戶請求都會被啟動，它的啟動概率默認(rèn)是1/1000。過于頻繁訪問的網(wǎng)站，并發(fā)量大的網(wǎng)站，可減小PHP GC的啟動頻率。PHP GC回收session會降低php的執(zhí)行效率。

4, 通過下面代碼，優(yōu)化session回收