php session有效期限的問題

PHP中的session有效期限預設是1440秒（24分鐘）【weiweiok 註：php5裡預設的是180分】，也就是說，客戶端超過24分鐘沒有刷新，當前session就會失效。很明顯，這是不能滿足需求的。

#

一個已知管用的方法是，使用session_set_save_handler，接管所有的session管理工作，一般是把session資訊儲存到資料庫，這樣可以透過SQL語句來刪除所有過期的session，精確地控制session的有效期限。這也是基於PHP的大型網站常用的方法。但是，一般的小型網站，似乎沒有必要這麼勞師動眾。
但是一般的Session的生命期有限，如果用戶關閉了瀏覽器，就不能保存Session的變數了！那麼怎麼樣可以實現Session的永久生命期呢？
大家知道，Session儲存在伺服器端，根據客戶端提供的SessionID來得到這個用戶的文件，然後讀取文件，取得變數的值，SessionID可以使用客戶端的Cookie或者Http1. 1協定的Query_String（就是存取的URL的「?」後面的部分）來傳送給伺服器，然後伺服器讀取Session的目錄…
要實作Session的永久生命期，首先需要了解php .ini關於Session的相關設定（開啟php.ini文件，在“[Session]”部分）：
1、session.use_cookies：預設的值是“1”，代表SessionID使用Cookie來傳遞，反之就是使用Query_String來傳遞；
2、session.name：這個就是SessionID儲存的變數名稱，可能是Cookie，也可能是Query_String來傳遞，預設值是「PHPSESSID」；
3、session.cookie_lifetime ：這個代表SessionID在客戶端Cookie儲存的時間，預設是0，代表瀏覽器一關閉SessionID就作廢…就是因為這個所以Session不能永久使用！
4、session.gc_maxlifetime：這個是Session資料在伺服器端儲存的時間，如果超過這個時間，那麼Session資料就會自動刪除！
還有很多的設置，不過和本文相關的就是這些了，以下開始講使用永久Session的原理和步驟。
前面說過，伺服器透過SessionID來讀取Session的數據，但是一般瀏覽器傳送的SessionID在瀏覽器關閉後就沒有了，那麼我們只需要人為的設定SessionID並且保存下來，不就可以…
如果你擁有伺服器的操作權限，那麼設定這個非常非常的簡單，只是需要進行如下的步驟：
1、把「session.use_cookies」設定為1，開啟Cookie儲存SessionID，不過預設就是1，一般不用修改；
2、把「session.cookie_lifetime」改為正無窮（當然沒有正無窮的參數，不過999999999和正無窮也沒有什麼區別）;
3、把「session.gc_maxlifetime」設定為和「session.cookie_lifetime」一樣的時間；
在PHP的文件中明確指出，設定session有效期的參數是session.gc_maxlifetime。可以在php.ini檔案中，或透過ini_set()函數來修改此參數。問題在於，經過多次測試，修改這個參數基本上不起作用，session有效期仍然保持24分鐘的預設值。
由於PHP的工作機制，它並沒有一個daemon線程，來定時地掃描session資訊並判斷其是否失效。當一個有效請求發生時，PHP會根據全域變數session.gc_probability/session.gc_pisor（同樣可以透過php.ini或ini_set()函數來修改）的值，來決定是否要啟動一個GC（Garbage Collector）。預設情況下，session.gc_probability ＝ 1，session.gc_pisor ＝100，也就是說有1%的可能性會啟動GC。
GC的工作，就是掃描所有的session訊息，用當前時間減去session的最後修改時間（modified date），同session.gc_maxlifetime參數進行比較，如果生存時間已經超過gc_maxlifetime，就把該session刪除。
到此為止，工作一切正常。那為什麼會發生gc_maxlifetime無效的情況呢？
在預設情況下，session資訊會以文字檔案的形式，被儲存在系統的暫存檔案目錄中。在Linux下，這條路徑通常為\tmp，在 Windows下通常為C:\Windows\Temp。當伺服器上有多個PHP應用時，它們會把自己的session檔案都保存在同一個目錄中。同樣地，這些PHP應用也會以一定機率啟動GC，掃描所有的session檔。
問題在於，GC在工作時，並不會區分不同網站的session。舉例言之，網站A的gc_maxlifetime設定為2小時，網站B的 gc_maxlifetime設定為預設的24分鐘。當站點B的GC啟動時，它會掃描公用的臨時檔案目錄，把所有超過24分鐘的session檔案全部刪除掉，而不管它們來自於站點A或B。這樣，站點A的gc_maxlifetime設定就形同虛設了。
找到問題所在，解決起來就很簡單了。修改session.save_path參數，或是使用session_save_path()函數，把保存session的目錄指向一個專用的目錄，gc_maxlifetime參數運作正常了。
嚴格來說，這算是PHP的一個bug？
還有一個問題就是，gc_maxlifetime只能保證session生存的最短時間，並不能夠保存在超過這一時間之後session資訊立即會被刪除。因為GC是按機率啟動的，可能在某一個長時間內都沒有被啟動，那麼大量的session在超過gc_maxlifetime以後仍然會有效。解決這個問題的一個方法是，把session.gc_probability/session.gc_pisor的機率提高，如果提到100%，就會徹底解決這個問題，但顯然會對效能造成嚴重的影響。另一個方法是自己在程式碼中判斷目前session的生存時間，如果超出了 gc_maxlifetime，就清空目前session。
但是如果你沒有伺服器的操作權限，那就比較麻煩了，你需要透過PHP程式改寫SessionID來實現永久的Session資料保存。查查php.net的函數手冊，可以看到有「session_id」這個函數：如果沒有設定參數，那麼將會傳回目前的SessionID，如果設定了參數，就會將目前的SessionID設定為給定的值…
只要利用永久性的Cookie加上「session_id」函數，就可以實現永久Session資料保存了！
但是為了方便，我們需要知道伺服器設定的“session.name”，但是一般使用者都沒有權限查看伺服器的php.ini設置，不過PHP提供了一個非常好的函數“phpinfo”，利用這個可以查看幾乎所有的PHP資訊！
----------------------------------------------- -------------------------------------