设置一个严格的SESSION过期时间
认识一:当我们需要更改session生存时间的时候通行的做法是更改php.ini文件中
1: ; Name of the session (used as cookie name).
2: session.name = PHPSESSID
3:
4: ; Initialize session on request startup.
5: session.auto_start = 0
6:
7: ; Lifetime in seconds of cookie or, if 0, until browser is restarted.
8: session.cookie_lifetime = 0 //(单位为秒)
9:
10: ; The path for which the cookie is valid.
11: session.cookie_path = /
12:
13: ; The domain for which the cookie is valid.
14: session.cookie_domain =
session.cookie_lifetime这项的数值,数值为0即关闭浏览器即cookie信息失效,如果是用户登录信息,那么关闭页面在打开就需要重新登录。
当将此设置为一定的值后,在指定的秒数内重新打开该页面,仍旧保留以前的 cookie 数据并且自动登陆。
再指定有效生存时间的情况下另一种不常见的做法是:我们在浏览器中挂载一段js脚本使用setInterval轮询的访问网站页面来延长session存活时间,不过这是在没有权限操纵服务器的情况下会采用的做法。
额外的说明:
PHP中设置的session时间测试过还是相当准确的,产生的session文件如果已经过期而没有被gc回收(也就是session的概率销毁清除)文件本身还保留在服务器上然后已经过期,服务器是不会去使用这个过期session文件中的session信息的。对于使用session控制的某些保持登录状态时间类信息可以放心大胆的使用。
项目中的做法:
session作为保持回话信息的重要工具怎么说都会开启,在整个程序的入口文件中我们程序启动即调用 session_set_cookie_params();
session_set_cookie_params()的用法说明:
Set cookie parameters defined in the php.ini file. The effect of this function only lasts for the duration of the script. Thus, you need to call session_set_cookie_params() for every request and before session_start() is called.
或者入口文件中实例化出来一个session_base()对象
class session_base()
{
var $max_life_time = 1440; // SESSION 过期时间||设为0即关闭浏览器即销毁session
var $my_session_name = 'logonmy'
var $session_cookie_path = '/';//SESSION存储路径
var $session_cookie_domain = '';//这里为空的话即为当前站点域名,也可以指定作用域名[.demo.com]
var $session_cookie_secure = false;//一般都为false
public function __construct()
{
$this->_session_base();
}
private function _session_base()
{
//session_name($this->$my_session_name);//如果我们不想使用PHPSESSID作为session名称我们可以改成于本站相关或者喜欢的名称
session_set_cookie_params($this->$max_life_time,$this->$session_cookie_path,$this->$session_cookie_domain,$this->$session_cookie_secure);
session_start();
}
}
其实说白了不管session_get_cookie_params();或者session_set_cookie_params();都是对配置文件中session相关属性读和写。
认识二:关于session的垃圾回收机制
还是来自php.ini中的定义
1: ; Define the probability that the 'garbage collection' process is started
2: ; on every session initialization.
3: ; The probability is calculated by using gc_probability/gc_divisor,
4: ; e.g. 1/100 means there is a 1% chance that the GC process starts
5: ; on each request.
6:
7: session.gc_probability = 1
8: session.gc_divisor = 100
9:
10: ; After this number of seconds, stored data will be seen as 'garbage' and
11: ; cleaned up by the garbage collection process.
12: session.gc_maxlifetime = 1440
这个设置:session在产 生后的1440秒后失效,会被认为garbage(垃圾) ,session.gc_probability和session.gc_divisor作为分子和分母,session.gc_probability/session.gc_divisor 得到启动垃圾回收gc进程(删除已经超出gc_maxlifetime的session文件)的发生概率,值得一提的是 为什么不把session.gc_probability和session.gc_divisor分别设置为100和100即为100%的发生概率,这是因为php召唤gc进程需要耗费计算资源,产生不必要的开销。所以一般都会保留默认值。对于大型或者大访问量的网站,还会降低这一概率。
留意:php.ini中 session.cookie_lifetime 和 session.gc_maxlifetime 其中session.cookie_lifetime是以秒数指定了发送到浏览器的 cookie 的生命周期。session.gc_maxlifetime指定了服务器session文件生存周期。最好将两个设置成相同值。
参考:
