PHP中设置一个严格30分钟过期Session面试题的4种答案
今天在我的微博上发出一个问题:
我在面试的时候, 经常会问一个问题: “如何设置一个30分钟过期的session?”, 大家不要觉得看似简单, 这里面包含的知识挺多, 特别适合考察基本功是否扎实, 谁来回答试试? 呵呵
为什么问这个问题呢?
1.我在上看到了有人讨论这个问题
2.想起来我经常问这个问题, 所以~~
在这里, 我来解答下这个题目.
第一种回答
那么, 最常见的一种回答是: 设置session的过期时间, 也就是, 这种回答是不正确的, 原因如下:
1. 首先, 这个php是用一定的概率来运行session的gc的, 也就是session.gc_probability和session.gc_divisor(介绍参看 php使用session遇到的一个permission denied notice解决办法), 这个默认的值分别是1和100, 也就是有1%的机会, php会在一个session启动时, 运行session gc. 不能保证到30分钟的时候一定会过期.
2. 那设置一个大概率的清理机会呢? 还是不妥, 为什么? 因为php使用stat session文件的修改时间来判断是否过期, 如果增大这个概率一来会降低性能, 二来, php使用”一个”文件来保存和一个会话相关的session变量, 假设我5分钟前设置了一个a=1的session变量, 5分钟后又设置了一个b=2的seesion变量, 那么这个session文件的修改时间为添加b时刻的时间, 那么a就不能在30分钟的时候, 被清理了. 另外还有下面第三个原因.
3. php默认的(linux为例), 是使用/tmp 作为session的默认存储目录, 并且手册中也有如下的描述:
note: 如果不同的脚本具有不同的 数值但是共享了同一个地方存储会话数据,则具有最小数值的脚本会清理数据。此情况下,与 session.save_path 一起使用本指令。
也就是说, 如果有俩个应用都没有指定自己独立的save_path, 一个设置了过期时间为2分钟(假设为a), 一个设置为30分钟(假设为b), 那么每次当a的session gc运行的时候, 就会同时删除属于应用b的session files.
所以, 第一种答案是不”完全严格”正确的.
第二种答案
还有一种常见的答案是: 设置session id的载体, cookie的过期时间, 也就是. 这种回答也是不正确的, 原因如下:
这个过期只是cookie过期, 换个说法这点就考察cookie和session的区别, session过期是服务器过期, 而cookie过期是客户端(浏览器)来保证的, 即使你设置了cookie过期, 这个只能保证标准浏览器到期的时候, 不会发送这个cookie(包含着session id), 而如果通过构造请求, 还是可以使用这个session id的值.
第三种答案
使用memcache, redis等, okey, 这种答案是一种正确答案. 不过, 很显然出题者肯定还会接着问你, 如果只是使用php呢?
第四种答案
当然, 面试不是为了难道你, 而是为了考察思考的周密性. 在这个过程中我会提示出这些陷阱, 所以一般来说, 符合题意的做法是:
1. 设置cookie过期时间30分钟, 并设置session的lifetime也为30分钟.
2. 自己为每一个session值增加time stamp.
3. 每次访问之前, 判断时间戳.
最后, 有同学问, 为什么要设置30分钟的过期时间: 这个, 首先这是为了面试, 第二, 实际使用场景的话, 比如30分钟就过期的优惠劵?
thanks :)
上一篇: 浅析hosts 文件的作用及修改 hosts 文件的方法
下一篇: PHP双向链表定义与用法示例
推荐阅读
-
PHP中设置一个严格30分钟过期Session面试题的4种答案_php实例
-
PHP中设置一个严格30分钟过期Session面试题的4种答案,session4种
-
PHP中设置一个严格30分钟过期Session面试题的4种答案,session4种
-
PHP中设置一个严格30分钟过期Session面试题的4种答案_php实例
-
PHP中设置一个严格30分钟过期Session面试题的4种答案,session4种_PHP教程
-
PHP中设置一个严格30分钟过期Session面试题的4种答案
-
PHP中设置一个严格30分钟过期Session面试题的4种答案
-
php 如何设置一个严格控制过期时间的session详解
-
如何利用php设置一个严格控制过期时间的session
-
如何利用php设置一个严格控制过期时间的session