深刻认识一下session
2015-03-14 23:19
260 查看
session是什么:
session即会话,是一种持续性,双向的连接。
session和cookie在本质上没什么区别,都是针对http协议的局限性提出的一种保持客户端和服务端会话状态的机制。
session的实现
1.cookie : 通过在cookie中存储sessionID
2.url重写:index.php?PHPSESID=01aab840166fd1dc253e3b4a3f0b8381
(通过session.use_cookies来控制使用哪一种方式)
session的工作原理:
sessionID实际上在客户端和服务器端是通过HTTP Request(发送cookie)和HTTP Response(设置cookie)传来传去。
sessionID通过一定的算法生成,保证唯一性和随机性,以确保session安全。
当sessionID销毁后,重新请求该页面,会重新注册一个sessionID,所以同一个浏览器和同一个服务器之间sessionID也是随机的。
session的保存:
默认文件的形式保存在服务器的/tmp下,文件名类似:sess_01aab840166fd1dc253e3b4a3f0b8381,后边是随机32位编码字符串。
格式:变量名|类型:长度:值,例如username|s:3:"lee";last_date|s:10:"2015-01-02";
session的使用:
session_start()必须在程序最开始执行,前边不能有任何输出,否则出现以下警告:
Warning:Cannot send session cookie - headers already send
解决:
办法1:在php.ini中修改session.auto_start = 1,自动开始,不需要session_start()
办法2(在不确定前边是否有输出的时候):
session的回收:
在php.ini中设置session.gc_maxlifetime,session的最大生存时间。
session的回收是通过检查/tmp/sess_xxx文件的最后修改时间和当前时间的差值。
如果”最后的修改时间”到”现在”超过了gc_maxlifetime(默认是1440)秒,这个session文件就被认为是过期了,在下一次session回收的时候,如果这个文件仍然没有被更
过,这个session文件就会被删除(session就过期了)。
默认情况下,每一次php请求,就会有1/100的概率发生回收,所以可能简单的理解为“每100次php请求就有一次回收发生”。这个概率是通过以下参数控制的
注意1:
假设这种情况gc_maxlifetime=120,如果某个session文件最后修改时间是120秒之前,那么在下一次回收(1/100的概率)发生前,这个session仍然是有效的。
保证精确的session删除时间方法:在session中记录最后登录时间,每次访问都判断是否超过时间,超过就退出,否则更新最后登录时间。
(这是面试时问题:怎样能保证session在20分钟过期?因为本身的gc回收是有一定概率的)
注 意2:
如果你的session使用session.save_path中使用别的地方保存session,session回收机制有可能不会自动处理过期 session文件。这时需要定时手动(或者crontab)删除过期的session
session即会话,是一种持续性,双向的连接。
session和cookie在本质上没什么区别,都是针对http协议的局限性提出的一种保持客户端和服务端会话状态的机制。
session的实现
1.cookie : 通过在cookie中存储sessionID
2.url重写:index.php?PHPSESID=01aab840166fd1dc253e3b4a3f0b8381
(通过session.use_cookies来控制使用哪一种方式)
session的工作原理:
sessionID实际上在客户端和服务器端是通过HTTP Request(发送cookie)和HTTP Response(设置cookie)传来传去。
sessionID通过一定的算法生成,保证唯一性和随机性,以确保session安全。
当sessionID销毁后,重新请求该页面,会重新注册一个sessionID,所以同一个浏览器和同一个服务器之间sessionID也是随机的。
session的保存:
默认文件的形式保存在服务器的/tmp下,文件名类似:sess_01aab840166fd1dc253e3b4a3f0b8381,后边是随机32位编码字符串。
格式:变量名|类型:长度:值,例如username|s:3:"lee";last_date|s:10:"2015-01-02";
session的使用:
session_start()必须在程序最开始执行,前边不能有任何输出,否则出现以下警告:
Warning:Cannot send session cookie - headers already send
解决:
办法1:在php.ini中修改session.auto_start = 1,自动开始,不需要session_start()
办法2(在不确定前边是否有输出的时候):
ob_start(); //开启output_buffering session_start(); $_SESSION["user"]="username"; ob_end_flush();
session的回收:
在php.ini中设置session.gc_maxlifetime,session的最大生存时间。
session的回收是通过检查/tmp/sess_xxx文件的最后修改时间和当前时间的差值。
如果”最后的修改时间”到”现在”超过了gc_maxlifetime(默认是1440)秒,这个session文件就被认为是过期了,在下一次session回收的时候,如果这个文件仍然没有被更
过,这个session文件就会被删除(session就过期了)。
默认情况下,每一次php请求,就会有1/100的概率发生回收,所以可能简单的理解为“每100次php请求就有一次回收发生”。这个概率是通过以下参数控制的
//概率是gc_probability/gc_divisor session.gc_probability = 1 //通过调大这个参数提高回收率,但太大了会增加负载 session.gc_divisor = 100
注意1:
假设这种情况gc_maxlifetime=120,如果某个session文件最后修改时间是120秒之前,那么在下一次回收(1/100的概率)发生前,这个session仍然是有效的。
保证精确的session删除时间方法:在session中记录最后登录时间,每次访问都判断是否超过时间,超过就退出,否则更新最后登录时间。
(这是面试时问题:怎样能保证session在20分钟过期?因为本身的gc回收是有一定概率的)
注 意2:
如果你的session使用session.save_path中使用别的地方保存session,session回收机制有可能不会自动处理过期 session文件。这时需要定时手动(或者crontab)删除过期的session
cd /path/to/sessions; find -cmin +24 | xargs rm
相关文章推荐
- 对 PHP SESSION 的深刻认识(三)---- 数据库存储session
- 对 PHP SESSION 的深刻认识(二)
- 对 PHP SESSION 的深刻认识(四)---- 缓存(memcache和redis)存储session
- 对 PHP SESSION 的深刻认识(一)
- ASP.NET Session的七点认识
- 检测一下你的专业指数:2015年十大测试工具你认识几个?
- ASP.NET Session的七点认识小结
- 来认识一下这些基于好友关系链和算法推荐的电影发现产品
- 去认识一下公共导频信道
- 深刻理解一下重载箭头操作符
- 很深刻东西,让天津人觉得没脸见人。好好反省一下!
- ASP.NET Session的七点认识
- android services生命周期深刻认识
- 深刻认识form
- Cordova webapp实战开发:(2)认识一下Cordova
- 认识一下WDF
- 对DataSetHelper类的一些深刻认识
- 深刻认识差模电压和共模电压
- PHP 对于session的auto start和session的过期时间的错误认识
- 【原】保存一下之前spring-session的redis单点登录配置文件【跨域】