php判斷session過期,php判斷session是否存在

本文目錄一覽：

• 1、php中怎樣判斷session過期？
• 2、如何嚴格設置php中session過期時間
• 3、PHP中，怎麼才能關閉瀏覽器後自動銷毀session？
• 4、php，通過提交的sessionid，查看sessionid是否失效/存在
• 5、PHP中設置一個嚴格30分鐘過期Session面試題的4種答案

php中怎樣判斷session過期？

SESSION 的有效時間在 php.ini 里配置。

過期以後 SESSION 變量值為 NULL ，任意判斷一個 SESSION 變量值即可。

如何嚴格設置php中session過期時間

如何嚴格限制session在30分鐘後過期！

1.設置客戶端cookie的lifetime為30分鐘；

2.設置session的最大存活周期也為30分鐘；

3.為每個session值加入時間戳，然後在程序調用時進行判斷；

至於為什麼，我們首先來了解下php中session的基本原理：

PHP中的session有效期默認是1440秒（24分鐘），也就是說，客戶端超過24分鐘沒有刷新，當前session就會失效。當然如果用戶關閉了瀏覽器，會話也就結束了，Session自然也不存在了！

大家知道，Session儲存在服務器端，根據客戶端提供的SessionID來得到這個用戶的文件，然後讀取文件，取得變量的值，SessionID可以使用客戶端的Cookie或者Http1.1協議的

Query_String（就是訪問的URL的「?」後面的部分）來傳送給服務器，然後服務器讀取Session的目錄……

要控制Session的生命周期，首先我們需要了解一下php.ini關於Session的相關設置（打開php.ini文件，在「[Session]」部分）：

1、session.use_cookies：默認的值是「1」，代表SessionID使用Cookie來傳遞，反之就是使用Query_String來傳遞；

2、session.name：這個就是SessionID儲存的變量名稱，可能是Cookie，也可能是Query_String來傳遞，默認值是「PHPSESSID」；

3、session.cookie_lifetime：這個代表SessionID在客戶端Cookie儲存的時間，默認是0，代表瀏覽器一關閉SessionID就作廢……就是因為這個所以Session不能永久使用！

4、session.gc_maxlifetime：這個是Session數據在服務器端儲存的時間，如果超過這個時間，那麼Session數據就自動刪除！

還有很多的設置，不過和本文相關的就是這些了，下面開始講如何設置Session的存活周期。

前面說過，服務器通過SessionID來讀取Session的數據，但是一般瀏覽器傳送的SessionID在瀏覽器關閉後就沒有了，那麼我們只需要人為的設置SessionID並且保存下來，不就可以……

如果你擁有服務器的操作權限，那麼設置這個非常非常的簡單，只是需要進行如下的步驟：

1、把「session.use_cookies」設置為1，使用Cookie來儲存SessionID，不過默認就是1，一般不用修改；

2、把「session.cookie_lifetime」改為你需要設置的時間（比如一個小時，就可以設置為3600，以秒為單位）;

3、把「session.gc_maxlifetime」設置為和「session.cookie_lifetime」一樣的時間；

在PHP的文檔中明確指出，設定session有效期的參數是session.gc_maxlifetime。可以在php.ini文件中，或者通過ini_set()函數來修改這一參數。問題在於，經過多次測試，修改這個

參數基本不起作用，session有效期仍然保持24分鐘的默認值。

由於PHP的工作機制，它並沒有一個daemon線程，來定時地掃描session信息並判斷其是否失效。當一個有效請求發生時，PHP會根據全局變量

session.gc_probability/session.gc_divisor（同樣可以通過php.ini或者ini_set()函數來修改）的值，來決定是否啟動一個GC（Garbage

Collector）。

默認情況下，session.gc_probability ＝ 1，session.gc_divisor

＝100，也就是說有1%的可能性會啟動GC。GC的工作，就是掃描所有的session信息，用當前時間減去session的最後修

改時間（modified

date），同session.gc_maxlifetime參數進行比較，如果生存時間已經超過gc_maxlifetime，就把該session刪除。

到此為止，工作一切正常。那為什麼會發生gc_maxlifetime無效的情況呢？

在默認情況下，session信息會以文本文件的形式，被保存在系統的臨時文件目錄中。在Linux下，這一路徑通常為\tmp，在

Windows下通常為C:\Windows\Temp。當服務器上有多個PHP應

用時，它們會把自己的session文件都保存在同一個目錄中。同樣地，這些PHP應用也會按一定機率啟動GC，掃描所有的session文件。

問題在於，GC在工作時，並不會區分不同站點的session。舉例言之，站點A的gc_maxlifetime設置為2小時，站點B的

gc_maxlifetime設置為默認的24分鐘。當站點B的GC啟動時，它會掃

描公用的臨時文件目錄，把所有超過24分鐘的session文件全部刪除掉，而不管它們來自於站點A或B。這樣，站點A的gc_maxlifetime設置就形同虛設了。

找到問題所在，解決起來就很簡單了。修改session.save_path參數，或者使用session_save_path()函數，把保存session的目錄指向一個專用的目錄，gc_maxlifetime參數工作正常了。

還有一個問題就是，gc_maxlifetime只能保證session生存的最短時間，並不能夠保存在超過這一時間之後session信息立即會得到刪除。因為GC是按機率啟動的，可能在某一個長時間內

都沒有被啟動，那麼大量的session在超過gc_maxlifetime以後仍然會有效。

解決這個問題的一個方法是，把session.gc_probability/session.gc_divisor的機率提高，如果提到100%，就會徹底解決這個問題，但顯然會對性能造成嚴重的影響。另一個方法是自己

在代碼中判斷當前session的生存時間，如果超出了 gc_maxlifetime，就清空當前session。

PHP中，怎麼才能關閉瀏覽器後自動銷毀session？

php的session過期機制是由這三個配置決定：

session.gc_probability = 1

session.gc_divisor = 1000

session.gc_maxlifetime = 1440

過期時間是針對session文件最新修改時間的，如果最新修改超過了gc_maxlifetime的時間，gc會有1/1000分之一的概率回收（刪掉session文件）

而每次瀏覽器請求，都是cookie中帶了PHPSESSID去服務器中匹配session的

http請求是無狀態請求，你一次請求後得到了響應，再沒有其他請求的話，基本服務器跟你瀏覽器沒啥關係了，所以你關閉了瀏覽器，不可能去命令服務器主動銷毀session

要想實現你要的效果，只能設置cookie的過期時間了，關閉會話後cookie過期(一般不設過期時間，默認是關閉瀏覽器失效)，這樣，你再打開，就要重新登錄，不要關心session的過期了，讓gc自己回收把。

php，通過提交的sessionid，查看sessionid是否失效/存在

session_start();

//if (isset($_SESSION[‘abc’])  $SESSION[‘abc’]) { //判斷變量存在,且變量值為真

if (isset($_SESSION[‘abc’])) {    //判斷變量已經被設置,也就是存在

    echo ‘存在’;

} else {

    echo ‘不存在’;

}

LS的代碼,首先判斷 這個SESSION變量是否存在要用 isset(),直接用

if($_SESSION[‘abc’]){ 的話,

如果事先給 $SESSION[‘abc’] 賦值了一個空字符串,實際上這個變量是存在的,只是沒有值,

是過不了你的判斷的,

PHP中設置一個嚴格30分鐘過期Session面試題的4種答案

今天在我的微博上發出一個問題:

我在面試的時候,

經常會問一個問題:

「如何設置一個30分鐘過期的Session?」,

大家不要覺得看似簡單,

這裏面包含的知識挺多,

特別適合考察基本功是否紮實,

誰來回答試試?

呵呵

為什麼問這個問題呢?

1.我在stackoverflow上看到了有人討論這個問題

2.想起來我經常問這個問題,

所以~~

在這裡,

我來解答下這個題目.

第一種回答

那麼,

最常見的一種回答是:

設置Session的過期時間,

也就是session.gc_maxlifetime,

這種回答是不正確的,

原因如下:

1.

首先,

這個PHP是用一定的概率來運行session的gc的,

也就是session.gc_probability和session.gc_divisor(介紹參看

PHP使用Session遇到的一個Permission

denied

Notice解決辦法),

這個默認的值分別是1和100,

也就是有1%的機會,

PHP會在一個Session啟動時,

運行Session

gc.

不能保證到30分鐘的時候一定會過期.

2.

那設置一個大概率的清理機會呢?

還是不妥,

為什麼?

因為PHP使用stat

Session文件的修改時間來判斷是否過期,

如果增大這個概率一來會降低性能,

二來,

PHP使用」一個」文件來保存和一個會話相關的Session變量,

假設我5分鐘前設置了一個a=1的Session變量,

5分鐘後又設置了一個b=2的Seesion變量,

那麼這個Session文件的修改時間為添加b時刻的時間,

那麼a就不能在30分鐘的時候,

被清理了.

另外還有下面第三個原因.

3.

PHP默認的(Linux為例),

是使用/tmp

作為Session的默認存儲目錄,

並且手冊中也有如下的描述:

Note:

如果不同的腳本具有不同的

session.gc_maxlifetime

數值但是共享了同一個地方存儲會話數據，則具有最小數值的腳本會清理數據。此情況下，與

session.save_path

一起使用本指令。

也就是說,

如果有倆個應用都沒有指定自己獨立的save_path,

一個設置了過期時間為2分鐘(假設為A),

一個設置為30分鐘(假設為B),

那麼每次當A的Session

gc運行的時候,

就會同時刪除屬於應用B的Session

files.

所以,

第一種答案是不」完全嚴格」正確的.

第二種答案

還有一種常見的答案是:

設置Session

ID的載體,

Cookie的過期時間,

也就是session.cookie_lifetime.

這種回答也是不正確的,

原因如下:

這個過期只是Cookie過期,

換個說法這點就考察Cookie和Session的區別,

Session過期是服務器過期,

而Cookie過期是客戶端(瀏覽器)來保證的,

即使你設置了Cookie過期,

這個只能保證標準瀏覽器到期的時候,

不會發送這個Cookie(包含着Session

ID),

而如果通過構造請求,

還是可以使用這個Session

ID的值.

第三種答案

使用memcache,

redis等,

okey,

這種答案是一種正確答案.

不過,

很顯然出題者肯定還會接着問你,

如果只是使用PHP呢?

第四種答案

當然,

面試不是為了難道你,

而是為了考察思考的周密性.

在這個過程中我會提示出這些陷阱,

所以一般來說,

符合題意的做法是:

1.

設置Cookie過期時間30分鐘,

並設置Session的lifetime也為30分鐘.

2.

自己為每一個Session值增加Time

stamp.

3.

每次訪問之前,

判斷時間戳.

最後,

有同學問,

為什麼要設置30分鐘的過期時間:

這個,

首先這是為了面試,

第二,

實際使用場景的話,

比如30分鐘就過期的優惠劵?

thanks

:)