session_set_save_handler函數控制session有效期問題

原文網址：http://www.jb51.net/article/17882.htm

PHP中的session有效期預設是1440秒（24分鐘）【weiweiok 注：php5裡預設的是180分】，也就是說，用戶端超過24分鐘沒有重新整理，目前session就會失效。很明顯，這是不能滿足需要的。

一個已知管用的方法是，使用session_set_save_handler，接管所有的session管理工作，一般是把session資訊存儲到資料庫，這樣可以通過SQL語句來删除所有過期的session，精确地控制session的有效期。這也是基于PHP的大型網站常用的方法。但是，一般的小型網站，似乎沒有必要這麼勞師動衆。

但是一般的Session的生命期有限，如果使用者關閉了浏覽器，就不能儲存Session的變量了！那麼怎麼樣可以實作Session的永久生命期呢？ 

大家知道，Session儲存在伺服器端，根據用戶端提供的SessionID來得到這個使用者的檔案，然後讀取檔案，取得變量的值，SessionID可以使用用戶端的Cookie或者Http1.1協定的Query_String（就是通路的URL的“?”後面的部分）來傳送給伺服器，然後伺服器讀取Session的目錄…… 

要實作Session的永久生命期，首先需要了解一下php.ini關于Session的相關設定（打開php.ini檔案，在“[Session]”部分）： 

1、session.use_cookies：預設的值是“1”，代表SessionID使用Cookie來傳遞，反之就是使用Query_String來傳遞； 

2、session.name：這個就是SessionID儲存的變量名稱，可能是Cookie，也可能是Query_String來傳遞，預設值是“PHPSESSID”； 

3、session.cookie_lifetime：這個代表SessionID在用戶端Cookie儲存的時間，預設是0，代表浏覽器一關閉SessionID就廢棄……就是因為這個是以Session不能永久使用！ 

4、session.gc_maxlifetime：這個是Session資料在伺服器端儲存的時間，如果超過這個時間，那麼Session資料就自動删除！ 

還有很多的設定，不過和本文相關的就是這些了，下面開始講使用永久Session的原理和步驟。 

前面說過，伺服器通過SessionID來讀取Session的資料，但是一般浏覽器傳送的SessionID在浏覽器關閉後就沒有了，那麼我們隻需要人為的設定SessionID并且儲存下來，不就可以…… 

如果你擁有伺服器的操作權限，那麼設定這個非常非常的簡單，隻是需要進行如下的步驟： 

1、把“session.use_cookies”設定為1，打開Cookie儲存SessionID，不過預設就是1，一般不用修改； 

2、把“session.cookie_lifetime”改為正無窮（當然沒有正無窮的參數，不過999999999和正無窮也沒有什麼差別）; 

3、把“session.gc_maxlifetime”設定為和“session.cookie_lifetime”一樣的時間； 

在PHP的文檔中明确指出，設定session有效期的參數是session.gc_maxlifetime。可以在php.ini檔案中，或者通過ini_set()函數來修改這一參數。問題在于，經過多次測試，修改這個參數基本不起作用，session有效期仍然保持24分鐘的預設值。 

由于PHP的工作機制，它并沒有一個daemon線程，來定時地掃描session資訊并判斷其是否失效。當一個有效請求發生時，PHP會根據全局變量session.gc_probability/session.gc_divisor（同樣可以通過php.ini或者ini_set()函數來修改）的值，來決定是否啟動一個GC（Garbage Collector）。預設情況下，session.gc_probability ＝ 1，session.gc_divisor ＝100，也就是說有1%的可能性會啟動GC。 

GC的工作，就是掃描所有的session資訊，用目前時間減去session的最後修改時間（modified date），同session.gc_maxlifetime參數進行比較，如果生存時間已經超過gc_maxlifetime，就把該session删除。 

到此為止，工作一切正常。那為什麼會發生gc_maxlifetime無效的情況呢？ 

在預設情況下，session資訊會以文本檔案的形式，被儲存在系統的臨時檔案目錄中。在Linux下，這一路徑通常為\tmp，在 Windows下通常為C:\Windows\Temp。當伺服器上有多個PHP應用時，它們會把自己的session檔案都儲存在同一個目錄中。同樣地，這些PHP應用也會按一定機率啟動GC，掃描所有的session檔案。 

問題在于，GC在工作時，并不會區分不同站點的session。舉例言之，站點A的gc_maxlifetime設定為2小時，站點B的 gc_maxlifetime設定為預設的24分鐘。當站點B的GC啟動時，它會掃描公用的臨時檔案目錄，把所有超過24分鐘的session檔案全部删除掉，而不管它們來自于站點A或B。這樣，站點A的gc_maxlifetime設定就形同虛設了。 

找到問題所在，解決起來就很簡單了。修改session.save_path參數，或者使用session_save_path()函數，把儲存session的目錄指向一個專用的目錄，gc_maxlifetime參數工作正常了。 

嚴格地來說，這算是PHP的一個bug？ 

還有一個問題就是，gc_maxlifetime隻能保證session生存的最短時間，并不能夠儲存在超過這一時間之後session資訊立即會得到删除。因為GC是按機率啟動的，可能在某一個長時間内都沒有被啟動，那麼大量的session在超過gc_maxlifetime以後仍然會有效。解決這個問題的一個方法是，把session.gc_probability/session.gc_divisor的機率提高，如果提到100%，就會徹底解決這個問題，但顯然會對性能造成嚴重的影響。另一個方法是自己在代碼中判斷目前session的生存時間，如果超出了 gc_maxlifetime，就清空目前session。 

但是如果你沒有伺服器的操作權限，那就比較麻煩了，你需要通過PHP程式改寫SessionID來實作永久的Session資料儲存。查查php.net的函數手冊，可以見到有“session_id”這個函數：如果沒有設定參數，那麼将傳回目前的SessionID，如果設定了參數，就會将目前的SessionID設定為給出的值…… 

隻要利用永久性的Cookie加上“session_id”函數，就可以實作永久Session資料儲存了！ 

但是為了友善，我們需要知道伺服器設定的“session.name”，但是一般使用者都沒有權限檢視伺服器的php.ini設定，不過PHP提供了一個非常好的函數“phpinfo”，利用這個可以檢視幾乎所有的PHP資訊！ 

------------------------------------------------------------------------------------ 

<title>PHP相關資訊顯示</title> 

<?phpinfo()?> 

------------------------------------------------------------------------------------ 

打開編輯器，輸入上面的代碼，然後在浏覽器中運作這個程式，會見到PHP的相關資訊（如圖1所示）。其中有一項“session.name”的參數，這個就是我們需要的伺服器“session.name”，一般是“PHPSESSID”。 

記下了SessionID的名稱後，我們就可以實作永久的Session資料儲存了！ 

複制代碼 代碼如下:

session_start(); 

ini_set('session.save_path','/tmp/'); 

//6個鐘頭 

ini_set('session.gc_maxlifetime',21600); 

//儲存一天 

$lifeTime = 24 * 3600; 

setcookie(session_name(), session_id(), time() + $lifeTime, "/"); 

後記： 

其實真正的永久儲存是不可能的，因為Cookie的儲存時間有限，而伺服器的空間也有限……但是對于一些需要儲存時間比較長的站點，以上方法就已經足夠了！ 

把session放入mysql的Example: 

資料庫裡建表：session ( sesskey varchar32 , expiry int11 , value longtext) 

code: 

代碼執行前已經連接配接資料庫了。

複制代碼 代碼如下:

define('STORE_SESSIONS','mysql'); 

if (STORE_SESSIONS == 'mysql') { 

if (!$SESS_LIFE = get_cfg_var('session.gc_maxlifetime')) { 

$SESS_LIFE = 1440; 

} 

function _sess_open($save_path, $session_name) { 

// 如果沒有連接配接資料庫，可以在此執行mysql_pconnect,mysql_select_db 

return true; 

} 

function _sess_close() { 

return true; 

} 

function _sess_read($key) { 

$value_query = mysql_query("select value from sessions where sesskey = '" .addslashes($key) . "' and expiry > '" . time() . "'"); 

$value = mysql_fetch_array($value_query); 

if (isset($value['value'])) { 

return $value['value']; 

} 

return false; 

} 

function _sess_write($key, $val) { 

global $SESS_LIFE; 

$expiry = time() + $SESS_LIFE; 

$value = $val; 

$check_query = mysql_query("select count(*) as total from sessions where sesskey = '" . addslashes($key) . "'"); 

$check = mysql_fetch_array($check_query); 

if ($check['total'] > 0) { 

return mysql_query("update sessions set expiry = '" . addslashes($expiry) . "', value = '" . addslashes($value) . "' where sesskey = '" . addslashes($key) . "'"); 

} else { 

return mysql_query("insert into sessions values ('" . addslashes($key) . "', '" . addslashes($expiry) . "', '" . addslashes($value) . "')"); 

} 

} 

function _sess_destroy($key) { 

return mysql_query("delete from sessions where sesskey = '" . addslashes($key) . "'"); 

} 

function _sess_gc($maxlifetime) { 

mysql_query("delete from sessions where expiry < '" . time() . "'"); 

return true; 

} 

session_set_save_handler('_sess_open', '_sess_close', '_sess_read', '_sess_write', '_sess_destroy', '_sess_gc'); 

} 

danoo_session_name( 'dtvSid' ); 

danoo_session_save_path(SESSION_WRITE_DIRECTORY); 

還是有點不明白，open,write那些參數哪裡來的。 

修改php.ini配置的兩個常用函數： 

get_cfg_var('session.gc_maxlifetime') : 取得session.gc_maxlifetime的值 

ini_set('session.cookie_lifetime','0') : 設定session.cookie_lifetime的值為0。