深入讲解PHP Session及如何保持其不过期的方法
session的实现中采用cookie技术,session会在客户端保存一个包含session_id(session编号)的cookie;在服务器端保存其他session变量,比如session_name等等。当用户请求服务器时也把session_id一起发送到服务器,通过 session_id提取所保存在服务器端的变量,就能识别用户是谁了。同时也不难理解为什么session有时会失效了。
当客户端禁用cookie时(点击ie中的“工具”—“internet选项”,在弹出的对话框里点击“安全”—“自定义级别”项,将“允许每个对话cookie”设为禁用),session_id将无法传递,此时 session失效。不过php5在linux/unix平台可以自动检查cookie状态,如果客户端设置了禁用,则系统自动把session_id附加到url上传递。windows主机则无此功能。
session常见函数及用法?
session_start() :开始一个会话或者返回已经存在的会话。
说明:这个函数没有参数,且返回值均为true。如果你使用基于cookie的session(cookie-based sessions),那么在使用session_start()之前浏览器不能有任何输出,否则会发生以下错误:
warning: cannot send session cache limiter - headers already sent (output started at /usr/local/apache/htdocs/cga/member/1.php:2)…………
你可以在php.ini里启动session.auto_start=1,这样就无需每次使用session之前都要调用session_start()。但启用该选项也有一些限制,如果确实启用了 session.auto_start,则不能将对象放入会话中,因为类定义必须在启动会话之前加载以在会话中重建对象。
请求结束后所有注册的变量都会被序列化。已注册但未定义的变量被标记为未定义。在之后的访问中这些变量也未被会话模块定义,除非用户以后定义它们。
警告: 有些类型的数据不能被序列化因此也就不能保存在会话中。包括 resource 变量或者有循环引用的对象(即某对象将一个指向自己的引用传递给另一个对象)。
注册session变量 :
php5使用$_session[‘xxx']=xxx注册session全局变量。和get,post,cookie的使用方法相似。
注意:session_register(),session_unregister ,session_is_registered在php5下不再使用,除非在php.ini里把register_globle设为on,不过出于安全考虑,强烈建议关闭register_globle。http_session_vars也不提倡使用了,官方建议用$_session代替之。例如:
page1.php
<?php session_start(); //使用session前必须调用该函数。 $_session[‘name']=”我是黑旋风李逵!”; //注册一个session变量 $_session[‘passwd']=”mynameislikui”; $_session[‘time']=time(); echo ' 通过cookie传递session'; //如果客户端支持cookie,可通过该链接传递session到下一页。 echo ' . sid . '">通过url传递session';//客户端不支持cookie时,使用该办法传递session. ?>
page2.php
<?php
session_start();
echo $_session['name']; //
echo $_session['passwd']; //
echo date('y m d h:i:s', $_session['time']);
echo '
返回山一页';
?>
有两种方法传递一个会话 id:
- cookie
- url 参数
会话模块支持这两种方法。cookie 更优化,但由于不总是可用,也提供替代的方法。第二种方法直接将会话 id 嵌入到 url 中间去。
php 可以透明地转换连接。除非是使用 php 4.2 或更新版本,需要手工在编译 php 时激活。在 unix 下,用 --enable-trans-sid 配置选项。如果此配置选项和运行时选项 session.use_trans_sid 都被激活(修改php.ini),相对 uri 将被自动修改为包含会话 id。
session_id
session_id() 用于设定或取得当前session_id。php5中既可以使用session_id(),也可以通过附加在url上的sid取得当前会话的session_id和session_name。
如果session_id()有具体指定值的话,将取代当前的session_id值。使用该函数前必须启动会话:session_start();
当我们使用session cookies时,如果指定了一个session_id()值,每次启动session_start()都会往客户端发送一个cookie值。不论当前session_id是否与指定值相等。
session_id()如果没有指定值,则返回当前session_id();当前会话没有启动的话,则返回空字符串。
检查session是否存在?
在以往的php版本中通常使用session_is_register()检查session是否存在,如果您使用$_session[‘xxx']=xxx来注册会话变量,则session_is_register()函数不再起作用。你可以使用
isset($_session[‘xxx'])来替代。
更改session_id session_regenerate_id() 更改成功则返回true,失败则返回false。
使用该函数可以为当前session更改session_id,但不改变当前session的其他信息。例如:
<?php session_start(); $old_sessionid = session_id(); session_regenerate_id(); $new_sessionid = session_id(); echo "原始 sessionid: $old_sessionid "; echo "新的 sessionid: $new_sessionid "; echo" "; print_r($_session); echo""; ?>
session_name() 返回当前session的name或改变当前session的name。如果要改变当前session的name,必须在session_start() 之前调用该函数。注意:session_name不能只由数字组成,它至少包含一个字母。否则会在每时每刻都生成一个新的session id.
session改名示例:
$previous_name = session_name("websiteid");
echo "新的session名为: $previous_name
";
?>
如何删除session?
1、unset ($_session['xxx']) 删除单个session,unset($_session['xxx']) 用来unregister一个已注册的session变量。其作用和session_unregister()相同。 session_unregister()在php5中不再使用,可将之打入冷宫。
unset($_session) 此函数千万不可使用,它会将全局变量$_session销毁,而且还没有可行的办法将其恢复。用户也不再可以注册$_session变量。
2、$_session=array() 删除多个session
3、 session_destroy()结束当前的会话,并清空会话中的所有资源。。该函数不会unset(释放)和当前session相关的全局变量 (globalvariables),也不会删除客户端的session cookie.php默认的session是基于cookie的,如果要删除cookie的话,必须借助setcookie()函数。
返回值:布尔值。
功能说明:这个函数结束当前的session,此函数没有参数,且返回值均为true
session_unset() 如果使用了$_session,则该函数不再起作用。由于php5必定要使用$_session,所以此函数可以打入冷宫了。
下面是php官方关于删除session的案例:
<?php
// 初始化session.
session_start();
/*** 删除所有的session变量..也可用unset($_session[xxx])逐个删除。****/
$_session = array();
/***删除sessin id.由于session默认是基于cookie的,所以使用setcookie删除包含session id的cookie.***/
if (isset($_cookie[session_name()])) {
setcookie(session_name(), '', time()-42000, '/');
}
// 最后彻底销毁session.
session_destroy();
?>
由此我们可以得出删除session的步骤:
- session_start()
- $_session=array()/unset($_session['xxx'])
- session_destroy()
解决php session不过期以及sessionid保持不变的问题
session 回收机制:
php采用garbage collection process对过期session进行回收,然而并不是每次session建立时,都能够唤起 ‘garbage collection' process ,gc是按照一定概率启动的。这主要是出于对服务器性能方面的考虑,每个session都触发gc,浏览量大的话,服务器吃不消,然而按照一定概率开启gc,当流览量大的时候,session过期机制能够正常运行,而且服务器效率得到节省。细节应该都是多年的经验积累得出的。
三个与php session过期相关的参数(php.ini中):
- session.gc_probability = 1
- session.gc_divisor = 1000
- session.gc_maxlifetime = 1440
gc启动概率 = gc_probability / gc_divisor = 0.1%
session过期时间 gc_maxlifetime 单位:秒
当web服务正式提供时,session过期概率就需要根据web服务的浏览量和服务器的性能来综合考虑session过期概率。为每个session都开启gc,显然是不明智的,感觉有点“碰运气”的感觉,要是访问量小命中几率就小。我在本机测试过程中,几乎都没有被命中过,sessionid几天都不变,哪怕机器重启。测试过程中,这个过期概率值要设置大一点命中几率才高点。
通过修改php配置文件的过期概率值,可以“碰运气”式的设置session过期,那有没有更好的办法呢?
下面写的这个session类可以彻底解决session不过期以及sessionid不变的问题。
<?php
/**
* 扩展session类(简单封装)
*
* @author slimboy
*
*/
class session {
/**
* 初始化
*/
static function _init(){
ini_set('session.auto_start', 0);
//session::start();
}
/**
* 启动session
*/
static function start() {
session_start();
}
/**
* 设置session
*
* @param $name session名称
* @param $value 值
* @param $time 超时时间(秒)
*/
public static function set($name,$value,$time){
if(empty($time)){
$time = 1800; //默认值
}
$_session[$name] = $value;
$_session[$name.'_expires'] = time() + $time;
}
/**
* 获取session值
*
* @param $name session名称
*/
public static function get($name){
//检查session是否已过期
if(isset($_session[$name.'_expires']) && $_session[$name.'_e
xpires']>time()){
return $_session[$name];
}else{
session::clear($name);
return null;
}
}
/**
* 设置session domain
*
* @param $sessiondomain 域
* @return string
*/
static function setdomain($sessiondomain = null) {
$return = ini_get('session.cookie_domain');
if(!empty($sessiondomain)) {
ini_set('session.cookie_domain', $sessiondomain);//跨
域访问session
}
return $return;
}
/**
* 清除某一session值
*
* @param $name session名称
*/
static function clear($name){
unset($_session[$name]);
unset($_session[$name.'_expires']);
}
/**
* 重置销毁session
*/
static function destroy(){
unset($_session);
session_destroy();
}
/**
* 获取或设置session id
*/
static function sessionid($id=null){
return session_id($id);
}
}
?>
简单调用:
<?php
//设置session
session::set('userid', $userid, 3600);
//读取session
$userid = session::get('userid');
?>