深刻认识一下session

session是什么：

session即会话，是一种持续性，双向的连接。

session和cookie在本质上没什么区别，都是针对http协议的局限性提出的一种保持客户端和服务端会话状态的机制。

session的实现

1.cookie : 通过在cookie中存储sessionID

2.url重写：index.php?PHPSESID=01aab840166fd1dc253e3b4a3f0b8381

(通过session.use_cookies来控制使用哪一种方式)

session的工作原理：

sessionID实际上在客户端和服务器端是通过HTTP Request(发送cookie)和HTTP Response(设置cookie)传来传去。

sessionID通过一定的算法生成，保证唯一性和随机性，以确保session安全。

当sessionID销毁后，重新请求该页面，会重新注册一个sessionID,所以同一个浏览器和同一个服务器之间sessionID也是随机的。

session的保存：

默认文件的形式保存在服务器的/tmp下，文件名类似：sess_01aab840166fd1dc253e3b4a3f0b8381，后边是随机32位编码字符串。

格式：变量名|类型:长度:值，例如username|s:3:"lee";last_date|s:10:"2015-01-02";

session的使用：

session_start()必须在程序最开始执行，前边不能有任何输出，否则出现以下警告：

Warning:Cannot send session cookie - headers already send

解决：

办法1：在php.ini中修改session.auto_start = 1，自动开始，不需要session_start()

办法2(在不确定前边是否有输出的时候)：

ob_start();  //开启output_buffering
session_start();
$_SESSION["user"]="username";
ob_end_flush();

session的回收：

在php.ini中设置session.gc_maxlifetime，session的最大生存时间。

session的回收是通过检查/tmp/sess_xxx文件的最后修改时间和当前时间的差值。

如果”最后的修改时间”到”现在”超过了gc_maxlifetime（默认是1440）秒，这个session文件就被认为是过期了，在下一次session回收的时候，如果这个文件仍然没有被更

过，这个session文件就会被删除（session就过期了）。

默认情况下，每一次php请求，就会有1/100的概率发生回收，所以可能简单的理解为“每100次php请求就有一次回收发生”。这个概率是通过以下参数控制的

//概率是gc_probability/gc_divisor 

session.gc_probability = 1 //通过调大这个参数提高回收率，但太大了会增加负载

session.gc_divisor = 100 

注意1：

假设这种情况gc_maxlifetime=120，如果某个session文件最后修改时间是120秒之前，那么在下一次回收（1/100的概率）发生前，这个session仍然是有效的。

保证精确的session删除时间方法：在session中记录最后登录时间，每次访问都判断是否超过时间，超过就退出，否则更新最后登录时间。

（这是面试时问题：怎样能保证session在20分钟过期？因为本身的gc回收是有一定概率的）

注 意2：

如果你的session使用session.save_path中使用别的地方保存session，session回收机制有可能不会自动处理过期 session文件。这时需要定时手动（或者crontab）删除过期的session

cd /path/to/sessions; find -cmin +24 | xargs rm