深入理解session过期机制

首先得明白：session的过期时间由两方面决定的; 
 1存储在客户端的$_COOKIE['PHPSESSID']的过期时间（默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。） 
 2.存储在服务器端的相对应的session文件（session文件名和上述cookie的值一一对应），默认为1440秒，即24分钟 

ok，现在详细阐述上述两者的关系： 当执行session_start()的时候，其实是做了两件事： 1，检查客户端发送过来的的所有cookie（当然也包括$_COOKIE['PHPSESSID'], 如果有的话），根据$_COOKIE['PHPSESSID']的值（这是由apache产生的随机字符串，如0lkbd2se458r600m2m7o1r4ic5）来访问 相对应的
session文件（如：sess_0lkbd2se458r600m2m7o1r4ic5，我的默认存储在‘E:\wamp\tmp’下），这两者是一 一对应的关系。打个比喻：$_COOKIE['PHPSESSID']就是一把开启宝盒的钥匙，而那个宝盒就是session文件，里面存储着用户的重要 信息，也就是session的值， 如：$_SESSION['uid']=1,$_SESSION['username']='name',$_SESSION['pwd']='pwd', 当然文件里面的值是经过序列化的。 2，如果客户端没有传来$_COOKIE['PHPSESSID']，就会有服务端产生一个随机的$_COOKIE['PHPSESSID']并存储在客户端。 

明白上面这些，我们可以通过下面的方法修改session的过期时间： 
1.session_set_cookie_params('50');//修改$_COOKIE['PHPSESSID'],的生存时间为50秒 

（或者可以这样： setcookie(session_name(),session_id(),time()+50);） 

2.ini_set('session.gc_maxlifetime','50');//设置session文件的有效时间为50秒 

但是，可能有些朋友会做这样 一个试验，
在50秒内获取$_COOKIE['PHPSESSID']的值并记录下来（如黑客截获这个cookie），这样等50秒过后发现原先 的$_COOKIE['PHPSESSID']值确实不存在了，而出现了一个新的$_COOKIE['PHPSESSID']，但是‘E:\wamp \tmp’下的旧session文件却没有消失（默认只有1/1000的概率会消失，应该不会碰到吧，呵呵），这是为什么呢？我不是已经设置了 .ini_set('session.gc_maxlifetime','50');了
吗？再做一个实验：这时你伪造一个$_COOKIE['PHPSESSID'],值为刚才你记录下的，神奇的事发生了，你依然可以访问刚才旧的 session文件！！！（虽然他已经过期），只要这个文件没被删除，用相对应得$_COOKIE['PHPSESSID']依然可以进行访问！！！ 

那我们设置ini_set('session.gc_maxlifetime',
'50');还有什么意义呢？这就涉及的GC（GarbageCollector）的回收机制。 
 默 认情况下，session.gc_probability ＝ 1，session.gc_divisor＝1000，也就是说有1/1000的可能性会启动GC。GC的工作，就是扫描所有的session信息，用当
前时间减去session的最后修改时间（modifieddate），同session.gc_maxlifetime参数进行比较，如果生存时间已经 超过gc_maxlifetime，就把该session删除。只要没有启动GC，即使session过期，也仍旧可通过相对应 得$_COOKIE['PHPSESSID']进行访问！ 
   
原文参考： http://www.jb51.net/article/26890.htm 
                 http://www.php100.com/html/webkaifa/PHP/PHPyingyong/2012/0621/10583.html