PHP如何操作指定的session？

比如通过后台，删除某个session，让该用户登录状态失效
补充：
是不同会话之间操作session，可能只知道username这样的值。

回复内容：

比如通过后台，删除某个session，让该用户登录状态失效
补充：
是不同会话之间操作session，可能只知道username这样的值。

如果你使用 php 原生 的 session 实现的话。

搞清楚两个问题

1. 你需要知道原生php在进行session操作的时候的生命周期。[php.session] 文档。
2. 还要有一套具体实现流程。

来说说以上两个问题。

第一个问题

英文原文：
The callbacks specified in session_set_save_handler() are methods called by PHP during the life-cycle of a session: open, read, write and close and for the housekeeping tasks: destroy for deleting a session and gc for periodic garbage collection.

大意就是说，通过session_set_save_handler() 来指定一些回调方法，来供php在他的生命周期中调用。php 操作session的生命周期(life-cycle)，分别为 open, read, write, close。在日常开发过程中，销毁 (destroy) 一个session，session垃圾清理机制会定期的去清理。(关于session的垃圾清理你可以在,php.ini文件中配置)

php默认管理sessiopn的方式是以文件形式存放在本地的硬盘上。(虽然很低效，但是很实用)以session_id作为文件名，文件的内容就是session中序列化的内容。

方法定义

<code>bool session_set_save_handler ( callable $open , callable $close , callable $read , callable $write , callable $destroy , callable $gc [, callable $create_sid ] )
</code>

在 php 5.4.0 你可以通过实现 SessionHandlerInterface 接口或继承 SessionHandler 类来使用。

如果想使用自定义生成 session_id 的功能还要实现 SessionIdInterface。

session_set_save_handler

As of PHP 5.4.0 you may create session handlers using the SessionHandlerInterface or extend internal PHP handlers by inheriting from SessionHandler。

继承SessionHandler可以在系统默认的实现上做一些修改。实现SessionHandlerInterface需要完全重写php默认的session管理方式。

他们的特点就是你可以继续使用 session_start, session_id, $_SESSION 而无需理会他们底层是怎么实现的。

本人一直反对在 php 语言发行版中搭载 http 的功能。这使得php变得很笨重不容易扩展，我也从不使用php原生的http功能。我现在的php版本是5.4。在开发php项目中，我大多数是使用 symfony2 框架或 symfony2 httpfoundation bundle。

第一个问题就搞定了，来看看第二个问题

第二个问题， 具体实现流程

如果我们 使用 session_set_save_handler 方法。通过它我们就可以管理每一个session。

我们可以在每一session创建的时候，把session的id记录下来。

<code>php</code><code> // 一下以文件系统作为存储介质实现一个简单的 `session handler`
 <?php class MySessionHandler extends SessionHandler implements SessionIdInterface {
    private $key;
    private $savePath;
    public function __construct($key)
    {
        $this->key = $key;
        $this->savePath = session_save_path();
    }

    public function create_sid() {
        // 生成 session id
        $session_id = uniqid('sess_', true);
        // 关键点 存储这个 id
        db_store('session_ids', $session_id);
        return $session_id;
    }
    // 通过 session id 读取 session 中数据的方法
    public function read($id)
    {
        $data = parent::read($id);
        return mcrypt_decrypt(MCRYPT_3DES, $this->key, $data, MCRYPT_MODE_ECB);
    }
    // 修改session中数据的方法
    public function write($id, $data)
    {
        $data = mcrypt_encrypt(MCRYPT_3DES, $this->key, $data, MCRYPT_MODE_ECB);
        return parent::write($id, $data);
    }

    // 简单实现，最好清除一下客户端 session_cookie 
    public function destroy($id) {
        $file = "$this->savePath/sess_$id";
        if (file_exists($file)) {
            unlink($file);
        }
        return true;
    }
}
// main fun
// config
ini_set('session.save_handler', 'files');
ini_set('session.save_path', './data/sessions'); //将 session 文件保存在项目中

// 实例化 handle
$handler = new MySessionHandler('mykey');

// 应用 handle
session_set_save_handler($handler, true);

// 可以使用 $handler 是完成一切工作
</code>

遗憾的是 session_set_save_handler 方法在 php5.5.1 版本之前并没有去管理生成 session_id，也就是实现 create_sid 方法是没有用的，因为 php5.5.1 之前的版本没有 SessionIdInterface 接口 session_set_save_handler 方法也没有对此接口做调整。

这也是我为什么不用 php 原生http的原因之一，如果使用symfony2的话，几乎没有任何限制，应为一切都是从 php://input 开始 从 php://output结束。

不废话了。

使用 handler 你就可以实现上面那样管理 session 用户。

<code>php</code><code>// 获取一个 session id
$a_sess_id = db_query('session_ids')[0];

// 获取session数据
$sess_data = $handler->read($a_sess_id);

// 修改这个session
$handler->write($a_sess_id, $new_data);

// 销毁这个 session
$handler->destroy($a_sess_id, $new_data);
</code>

希望对你有多帮助，还有建议所有看到这个"文章"(就叫文章吧)的朋友不要在使用 php 原生 http 的功能了，$_GET, $_SERVER, $_COOKIES, $_SESSION 等等如此，真的很丑陋，他是php万恶的根源之一。

[symfony HttpFoundation] 项目告诉你我们应该如何正确的使用php开发web。当然你最好直接使用 symfony

自己根据需要的索引(username等)和 session_id 在后台维护一个 session 池，然后就可以操作索引对应的 session 内容。

PHP 默认是文件保存 session 的，删除文件或者读取后操作数据都随你了。

用其他的像 memcache，redis 什么的会不会更容易些？

只能说提供一个思路，具体可行不可行还是要尝试。
首先理解什么是session，我们知道客户端是不存session的，只是存的一个cookies，而服务器是怎么知道这个客户端对应的session的，实际上他是通过客户端带过来的cookies去寻找的，获取的方法是通过这个session_id()，该函数如果不传参数的话，获取的要么是本次请求对应的session，要么是空，不可能是其他用户的session，如果传参数的话，首先你必须知道其他用户的session_id，但这个怎么拿，我也不知道。