深入理解session过期机制
2017-07-14 15:14
267 查看
首先得明白:session的过期时间由两方面决定的;
1存储在客户端的$_COOKIE['PHPSESSID']的过期时间(默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。)
2.存储在服务器端的相对应的session文件(session文件名和上述cookie的值一一对应),默认为1440秒,即24分钟
ok,现在详细阐述上述两者的关系: 当执行session_start()的时候,其实是做了两件事: 1,检查客户端发送过来的的所有cookie(当然也包括$_COOKIE['PHPSESSID'], 如果有的话),根据$_COOKIE['PHPSESSID']的值(这是由apache产生的随机字符串,如0lkbd2se458r600m2m7o1r4ic5)来访问 相对应的
session文件(如:sess_0lkbd2se458r600m2m7o1r4ic5,我的默认存储在‘E:\wamp\tmp’下),这两者是一 一对应的关系。打个比喻:$_COOKIE['PHPSESSID']就是一把开启宝盒的钥匙,而那个宝盒就是session文件,里面存储着用户的重要 信息,也就是session的值, 如:$_SESSION['uid']=1,$_SESSION['username']='name',$_SESSION['pwd']='pwd', 当然文件里面的值是经过序列化的。 2,如果客户端没有传来$_COOKIE['PHPSESSID'],就会有服务端产生一个随机的$_COOKIE['PHPSESSID']并存储在客户端。
明白上面这些,我们可以通过下面的方法修改session的过期时间:
1.session_set_cookie_params('50');//修改$_COOKIE['PHPSESSID'],的生存时间为50秒
(或者可以这样: setcookie(session_name(),session_id(),time()+50);)
2.ini_set('session.gc_maxlifetime','50');//设置session文件的有效时间为50秒
但是,可能有些朋友会做这样 一个试验,
在50秒内获取$_COOKIE['PHPSESSID']的值并记录下来(如黑客截获这个cookie),这样等50秒过后发现原先 的$_COOKIE['PHPSESSID']值确实不存在了,而出现了一个新的$_COOKIE['PHPSESSID'],但是‘E:\wamp \tmp’下的旧session文件却没有消失(默认只有1/1000的概率会消失,应该不会碰到吧,呵呵),这是为什么呢?我不是已经设置了 .ini_set('session.gc_maxlifetime','50');了
吗?再做一个实验:这时你伪造一个$_COOKIE['PHPSESSID'],值为刚才你记录下的,神奇的事发生了,你依然可以访问刚才旧的 session文件!!!(虽然他已经过期),只要这个文件没被删除,用相对应得$_COOKIE['PHPSESSID']依然可以进行访问!!!
那我们设置ini_set('session.gc_maxlifetime',
'50');还有什么意义呢?这就涉及的GC(GarbageCollector)的回收机制。
默 认情况下,session.gc_probability = 1,session.gc_divisor=1000,也就是说有1/1000的可能性会启动GC。GC的工作,就是扫描所有的session信息,用当
前时间减去session的最后修改时间(modifieddate),同session.gc_maxlifetime参数进行比较,如果生存时间已经 超过gc_maxlifetime,就把该session删除。只要没有启动GC,即使session过期,也仍旧可通过相对应 得$_COOKIE['PHPSESSID']进行访问!
原文参考: http://www.jb51.net/article/26890.htm
http://www.php100.com/html/webkaifa/PHP/PHPyingyong/2012/0621/10583.html
1存储在客户端的$_COOKIE['PHPSESSID']的过期时间(默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。)
2.存储在服务器端的相对应的session文件(session文件名和上述cookie的值一一对应),默认为1440秒,即24分钟
ok,现在详细阐述上述两者的关系: 当执行session_start()的时候,其实是做了两件事: 1,检查客户端发送过来的的所有cookie(当然也包括$_COOKIE['PHPSESSID'], 如果有的话),根据$_COOKIE['PHPSESSID']的值(这是由apache产生的随机字符串,如0lkbd2se458r600m2m7o1r4ic5)来访问 相对应的
session文件(如:sess_0lkbd2se458r600m2m7o1r4ic5,我的默认存储在‘E:\wamp\tmp’下),这两者是一 一对应的关系。打个比喻:$_COOKIE['PHPSESSID']就是一把开启宝盒的钥匙,而那个宝盒就是session文件,里面存储着用户的重要 信息,也就是session的值, 如:$_SESSION['uid']=1,$_SESSION['username']='name',$_SESSION['pwd']='pwd', 当然文件里面的值是经过序列化的。 2,如果客户端没有传来$_COOKIE['PHPSESSID'],就会有服务端产生一个随机的$_COOKIE['PHPSESSID']并存储在客户端。
明白上面这些,我们可以通过下面的方法修改session的过期时间:
1.session_set_cookie_params('50');//修改$_COOKIE['PHPSESSID'],的生存时间为50秒
(或者可以这样: setcookie(session_name(),session_id(),time()+50);)
2.ini_set('session.gc_maxlifetime','50');//设置session文件的有效时间为50秒
但是,可能有些朋友会做这样 一个试验,
在50秒内获取$_COOKIE['PHPSESSID']的值并记录下来(如黑客截获这个cookie),这样等50秒过后发现原先 的$_COOKIE['PHPSESSID']值确实不存在了,而出现了一个新的$_COOKIE['PHPSESSID'],但是‘E:\wamp \tmp’下的旧session文件却没有消失(默认只有1/1000的概率会消失,应该不会碰到吧,呵呵),这是为什么呢?我不是已经设置了 .ini_set('session.gc_maxlifetime','50');了
吗?再做一个实验:这时你伪造一个$_COOKIE['PHPSESSID'],值为刚才你记录下的,神奇的事发生了,你依然可以访问刚才旧的 session文件!!!(虽然他已经过期),只要这个文件没被删除,用相对应得$_COOKIE['PHPSESSID']依然可以进行访问!!!
那我们设置ini_set('session.gc_maxlifetime',
'50');还有什么意义呢?这就涉及的GC(GarbageCollector)的回收机制。
默 认情况下,session.gc_probability = 1,session.gc_divisor=1000,也就是说有1/1000的可能性会启动GC。GC的工作,就是扫描所有的session信息,用当
前时间减去session的最后修改时间(modifieddate),同session.gc_maxlifetime参数进行比较,如果生存时间已经 超过gc_maxlifetime,就把该session删除。只要没有启动GC,即使session过期,也仍旧可通过相对应 得$_COOKIE['PHPSESSID']进行访问!
原文参考: http://www.jb51.net/article/26890.htm
http://www.php100.com/html/webkaifa/PHP/PHPyingyong/2012/0621/10583.html
相关文章推荐
- 深入理解mybatis原理, Mybatis初始化SqlSessionFactory机制详解
- 深入理解浏览器会话机制(session && cookie)
- 深入理解mybatis原理, Mybatis初始化SqlSessionFactory机制详解(转)
- 深入理解Session和Cookie机制
- 深入理解mybatis原理, Mybatis初始化SqlSessionFactory机制详解
- 深入理解Session和Cookie机制
- 深入理解Delphi的消息机制 1 (转载)
- 深入理解 Java 垃圾回收机制
- .“.NET研究”Net Discovery系列之-深入理解平台机制与性能影响 (中)
- JavaScript是否可实现多线程 深入理解JavaScript定时机制
- 深入理解Java:类加载机制及反射
- 深入理解java异常处理机制
- PHP autoload与spl_autoload自动加载机制的深入理解
- vue nextTick深入理解---vue性能优化、DOM更新时机、事件循环机制
- 深入理解JVM--JVM垃圾回收机制
- 深入理解java异常处理机制
- JavaScript可否多线程? 深入理解JavaScript定时机制
- 深入理解PHP原理之Session Gc的一个小概率Notice
- 【深入理解C++】从初始化列表和构造函数谈C++的初始化机制
- 深入理解mybatis原理(八) MyBatis事务管理机制