PHP_SESSION学习小结

PHP Session

PHP session 变量用于存储关于用户会话（session）的信息，或者更改用户会话（session）的设置。Session 变量存储单一用户的信息，并且对于应用程序中的所有页面都是可用的。

PHP Session变量

您在计算机上操作某个应用程序时，您打开它，做些更改，然后关闭它。这很像一次对话（Session）。计算机知道您是谁。它清楚您在何时打开和关闭应用程序。然而，在因特网上问题出现了：由于 HTTP 地址无法保持状态，Web 服务器并不知道您是谁以及您做了什么。

PHP session 解决了这个问题，它通过在服务器上存储用户信息以便随后使用（比如用户名称、购买商品等）。然而，会话信息是临时的，在用户离开网站后将被删除。如果您需要永久存储信息，可以把数据存储在数据库中。

Session 的工作机制是：为每个访客创建一个唯一的 id (UID)，并基于这个 UID 来存储变量。UID 存储在 cookie 中，或者通过 URL 进行传导。

Session 的简单使用

开启 Session

• 存储和取回Session 变量的正确放方法是使用PHP $_SESSION 按照我的理解来说就是把每个会话进行了唯一的表示 $__SESSION是对应一个SESSION_id的 然后储存在文件当中

  • php.ini文件，在session.save_path属性指定的目录下

• 当第一次访问网站时，Seesion_start()函数就会创建一个唯一的Session ID，并自动通过HTTP的响应头，将这个Session ID保存到客户端Cookie中。同时，也在服务器端创建一个以Session ID命名的文件，用于保存这个用户的会话信息。

• 当同一个用户再次访问这个网站时，也会自动通过HTTP的请求头将Cookie中保存的Seesion ID再携带过来，这时Session_start()函数就不会再去分配一个新的Session ID，而是在服务器的硬盘中去寻找和这个Session ID同名的Session文件，将这之前为这个用户保存的会话信息读出，在当前脚本中应用，达到跟踪这个用户的目的。 Session以数组的形式使用，如：$_SESSION['session名']

<?php
session_start(); //必须使用session_start()才可以开始使用session

销毁 Session

• 使用unset()/session_destory可以销毁session数据
• 区别在于 unset()函数释放指定的session变量 而session_destroy()彻底销毁session

删除cookie

• 因为PHP的Session默认是基于Cookie的，SessionID被服务器存储在客户端的Cookie中，所以在注销Session时也需要清除Cookie中保存的SessionID，而这就必须借助setCookie()函数完成。在PHP脚本中，可以通过调用session_name()函数获取Session名称。删除保存在客户端Cookie中的SessionID

<?php
//判断Cookie中是否存在session ID
if(isset($_COOKIE[session_name()])){
    //删除包含Session ID的cookie，注意第四个参数一定要和php.ini设置的路径相同
    setcookie(session_name(),'',time()-3600,'/');
}
?>

常用模板

<?php
//第一步：开启Session并初始化
session_start();

//第二部：删除所有Session的变量，也可以用unset($_SESSION[XXX])逐个删除
$_SESSION = array();

//第三部：如果使用基于Cookie的session，使用setCookkie()删除包含Session ID的cookie
if(isset($_COOKIE[session_name()])) {
    setCookie(session_name(), "", time()-42000, "/");
}

//第四部：最后彻底销毁session
session_destroy();

?>

session的php.ini配置选项

　php.ini文件和Session有关的几个常用配置选项：
　　session.auto_start = 0 ; 在请求启动时初始化session
　　session.cache_expire = 180 ; 设置缓存中的会话文档在 n 分钟后过时
　　session.cookie_lifetime = 0 ; 设置按秒记的cookie的保存时间，相当于设置Session的过期时间，为0时表示直到浏览器被重启
session.cookie_path = / ;
session.cookie_domain = ; cookie的有效域
session.name = PHPSESSID; 用在cookie里的session的名字
session.save_handler = files ; 用于保存/取回数据的控制方式
session.save_path = /tmp ; 在 save_handler 设为文件时传给控制器的参数， 这是数据文件将保存的路径.
//用文件做介质时，session存储路径; 用memcache做介质时用作服务器连接串：session.save_path = "tcp://127.0.0.1:11211"
//有一种设置是 "N;/path"，这是随机分级存储，这个样的话，垃圾回收将不起作用，需要自己写脚本
session.use_cookies = 1 ; 是否使用cookies

• session.auto_start=1，这样就无需每次使用session之前都要调用session_start()不建议使用.但启用该选项也有一些限制，如果确实启用了 session.auto_start，则不能将对象放入会话中，因为类定义必须在启动会话之前加载以在会话中重建对象。

Session的垃圾自动回收机制

可以通过session_destroy()函数在页面中提供一个“退出”按钮，通过单击销毁本次会话。但如果用户没有单击退出按钮，而是直接关闭浏览器，或断网等情况，在服务器端保存的Session文件是不会删除的。

虽然关闭浏览器，下次需要重新分配一个新的Session ID重新登录，但这只是因为在php.ini中的设置seesion.cookie_lifetime=0，来设定Session ID在客户端Cookie中的有效限期，以秒为单位指定了发送到浏览器的Cookie的生命周期。

当系统赋予Session有效期限后不管浏览器是否开启，Session ID都会自动消失。而客户端Session ID消失服务器端保存的Session文件并没有被删除。所以没有被Sessoin ID引用的服务器端Session文件，就成为了“垃圾”。

服务器保存的Session文件就是一个普通文本文件，所以都会有文件修改时间。“垃圾回收程序”启动后就是根据Session文件的修改时间，将所有过期的Session文件全部删除。

通过在php.ini中设置session.gc_maxlifetime选项来指定一个时间(单位：秒)，例如设置该选项值为1440(24分钟)。“垃圾回收程序”就会在所有Session文件中排查，如果有修改时间距离当前系统时间大于1440秒的就将其删除。

“session垃圾回收程序”是怎样的启动机制呢?“垃圾回收程序”是在调用session_start()函数时启动的。而一个网站有多个脚本，没有脚本又都要使用session_start()函数开启会话，又会有很多个用户同时访问，这就很可能session_start()函数在1秒内被调用N次，而如果每次都会启动“session垃圾回收程序”，这样是很不合理的。

可以通过php.ini文件中修改“session.gc_probability和session.gc_divisor”两个选项，设置启动垃圾回收程序的概率。会根据“session.gc_probability/session.gc_divisor”公示计算概率，例如选项session.gc_probability=1，而选项session.gc_divisor=100，这样的概率就是“1/100”，即session_start()函数被调用100次才会有一次可能启动“垃圾回收程序”。

• php.ini中的相关配置

session.cookie_lifetime=0; 关闭浏览器相应的cookie文件即被删除
session.gc_maxlifetime; 设置过期session时间，默认1440秒(24分钟)
session.gc_probability/session.gc_divisor; 启动垃圾回收机制的概率(建议值为1/1000——5000)

cookie被禁用的情况

cookie禁用时通过URL传递session的ID

使用Session跟踪一个用户，是通过在各个页面之间传递唯一的Session ID，并通过Session ID提取这个用户在服务器中保存的Session变量。常见的Session ID传送方法有以下两种。

　　第一种方法是基于cookie的方式传递session ID，这种方式更优，但不总是可用， 因为用户在客户端可以屏蔽cookie;

　　第二种方法是通过url参数进行传递，直接将session ID嵌入到URL中去。

在Session的实现中通常都是采用Cookie的方式，客户端保存的Session ID就是一个Cookie。当客户禁用Cookie时，Session ID就不能在Cookie中保存，也就不能在页面之间传递，此时Session失效。不过PHP5在Linux平台可以自动检查Cookie状态，如果客户端禁用它，则系统自动把Session ID附加到URL上传送。而使用Windows系统作为Web服务器则无此功能。

　　在PHP中提出了跟踪Session的另一种机制，如果客户浏览器不支持Cookie，则PHP可以重写客户请求的URL，把Session ID添加到URL信息中。可以手动地在每个超链接的URL中都加上一个Session ID，但工作量比较大，不建议使用这种方法。如下所示：

<?php
//开启session
session_start();

//在每个URL后面附加上参数，变量名为session_name()获取名称，值通过session_id()获取
echo '<a href="demo.php?'.session_name().'='.session_id().'">连接演示</a>';
?>

在使用Linux系统做服务器时，则在编辑PHP时如果使用了–enable-trans-sid配置选项，和运行时选项session.use_trans_sid都被激活，在客户端禁用Cookie时，相对URL将被自动修改为包含会话ID。如果没有这么配置，或者使用Windows系统作为服务器时，可以使用常量SID。该常量在会话启动时被定义，如果客户端没有发送适当的会话Cookie，则SID的格式为session_name=session_id,否则就为一个空字符串。

参考:
https://www.cnblogs.com/a609251438/p/11954211.html
https://www.runoob.com/php/php-sessions.html