深入理解session过期机制
来源:互联网 发布:淘宝女装客服培训 编辑:程序博客网 时间:2024/06/06 18:49
首先得明白:session的过期时间由两方面决定的;
1存储在客户端的$_COOKIE['PHPSESSID']的过期时间(默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。)
2.存储在服务器端的相对应的session文件(session文件名和上述cookie的值一一对应),默认为1440秒,即24分钟
ok,现在详细阐述上述两者的关系: 当执行session_start()的时候,其实是做了两件事: 1,检查客户端发送过来的的所有cookie(当然也包括$_COOKIE['PHPSESSID'], 如果有的话),根据$_COOKIE['PHPSESSID']的值(这是由apache产生的随机字符串,如0lkbd2se458r600m2m7o1r4ic5)来访问 相对应的 session文件(如:sess_0lkbd2se458r600m2m7o1r4ic5,我的默认存储在‘E:\wamp\tmp’下),这两者是一 一对应的关系。打个比喻:$_COOKIE['PHPSESSID']就是一把开启宝盒的钥匙,而那个宝盒就是session文件,里面存储着用户的重要 信息,也就是session的值, 如:$_SESSION['uid']=1,$_SESSION['username']='name',$_SESSION['pwd']='pwd', 当然文件里面的值是经过序列化的。 2,如果客户端没有传来$_COOKIE['PHPSESSID'],就会有服务端产生一个随机的$_COOKIE['PHPSESSID']并存储在客户端。
明白上面这些,我们可以通过下面的方法修改session的过期时间:
1.session_set_cookie_params('50');//修改$_COOKIE['PHPSESSID'],的生存时间为50秒
(或者可以这样: setcookie(session_name(),session_id(),time()+50);)
2.ini_set('session.gc_maxlifetime','50');//设置session文件的有效时间为50秒
但是,可能有些朋友会做这样 一个试验, 在50秒内获取$_COOKIE['PHPSESSID']的值并记录下来(如黑客截获这个cookie),这样等50秒过后发现原先 的$_COOKIE['PHPSESSID']值确实不存在了,而出现了一个新的$_COOKIE['PHPSESSID'],但是‘E:\wamp \tmp’下的旧session文件却没有消失(默认只有1/1000的概率会消失,应该不会碰到吧,呵呵),这是为什么呢?我不是已经设置了 .ini_set('session.gc_maxlifetime','50');了 吗?再做一个实验:这时你伪造一个$_COOKIE['PHPSESSID'],值为刚才你记录下的,神奇的事发生了,你依然可以访问刚才旧的 session文件!!!(虽然他已经过期),只要这个文件没被删除,用相对应得$_COOKIE['PHPSESSID']依然可以进行访问!!!
那我们设置ini_set('session.gc_maxlifetime', '50');还有什么意义呢?这就涉及的GC(GarbageCollector)的回收机制。
默 认情况下,session.gc_probability = 1,session.gc_divisor=1000,也就是说有1/1000的可能性会启动GC。GC的工作,就是扫描所有的session信息,用当 前时间减去session的最后修改时间(modifieddate),同session.gc_maxlifetime参数进行比较,如果生存时间已经 超过gc_maxlifetime,就把该session删除。只要没有启动GC,即使session过期,也仍旧可通过相对应 得$_COOKIE['PHPSESSID']进行访问!
原文参考: http://www.jb51.net/article/26890.htm
http://www.php100.com/html/webkaifa/PHP/PHPyingyong/2012/0621/10583.html
1存储在客户端的$_COOKIE['PHPSESSID']的过期时间(默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。)
2.存储在服务器端的相对应的session文件(session文件名和上述cookie的值一一对应),默认为1440秒,即24分钟
ok,现在详细阐述上述两者的关系: 当执行session_start()的时候,其实是做了两件事: 1,检查客户端发送过来的的所有cookie(当然也包括$_COOKIE['PHPSESSID'], 如果有的话),根据$_COOKIE['PHPSESSID']的值(这是由apache产生的随机字符串,如0lkbd2se458r600m2m7o1r4ic5)来访问 相对应的 session文件(如:sess_0lkbd2se458r600m2m7o1r4ic5,我的默认存储在‘E:\wamp\tmp’下),这两者是一 一对应的关系。打个比喻:$_COOKIE['PHPSESSID']就是一把开启宝盒的钥匙,而那个宝盒就是session文件,里面存储着用户的重要 信息,也就是session的值, 如:$_SESSION['uid']=1,$_SESSION['username']='name',$_SESSION['pwd']='pwd', 当然文件里面的值是经过序列化的。 2,如果客户端没有传来$_COOKIE['PHPSESSID'],就会有服务端产生一个随机的$_COOKIE['PHPSESSID']并存储在客户端。
明白上面这些,我们可以通过下面的方法修改session的过期时间:
1.session_set_cookie_params('50');//修改$_COOKIE['PHPSESSID'],的生存时间为50秒
(或者可以这样: setcookie(session_name(),session_id(),time()+50);)
2.ini_set('session.gc_maxlifetime','50');//设置session文件的有效时间为50秒
但是,可能有些朋友会做这样 一个试验, 在50秒内获取$_COOKIE['PHPSESSID']的值并记录下来(如黑客截获这个cookie),这样等50秒过后发现原先 的$_COOKIE['PHPSESSID']值确实不存在了,而出现了一个新的$_COOKIE['PHPSESSID'],但是‘E:\wamp \tmp’下的旧session文件却没有消失(默认只有1/1000的概率会消失,应该不会碰到吧,呵呵),这是为什么呢?我不是已经设置了 .ini_set('session.gc_maxlifetime','50');了 吗?再做一个实验:这时你伪造一个$_COOKIE['PHPSESSID'],值为刚才你记录下的,神奇的事发生了,你依然可以访问刚才旧的 session文件!!!(虽然他已经过期),只要这个文件没被删除,用相对应得$_COOKIE['PHPSESSID']依然可以进行访问!!!
那我们设置ini_set('session.gc_maxlifetime', '50');还有什么意义呢?这就涉及的GC(GarbageCollector)的回收机制。
默 认情况下,session.gc_probability = 1,session.gc_divisor=1000,也就是说有1/1000的可能性会启动GC。GC的工作,就是扫描所有的session信息,用当 前时间减去session的最后修改时间(modifieddate),同session.gc_maxlifetime参数进行比较,如果生存时间已经 超过gc_maxlifetime,就把该session删除。只要没有启动GC,即使session过期,也仍旧可通过相对应 得$_COOKIE['PHPSESSID']进行访问!
原文参考: http://www.jb51.net/article/26890.htm
http://www.php100.com/html/webkaifa/PHP/PHPyingyong/2012/0621/10583.html
阅读全文
0 0
- 深入理解session过期机制
- 深入理解Session机制
- 深入理解Session机制
- 深入理解Session机制 .
- 深入理解session机制
- session过期即跨域理解
- 深入理解PHP的Session机制
- 深入理解Session和Cookie机制
- 深入理解浏览器会话机制(session && cookie)
- Session机制深入详解
- PHP session过期机制和配置
- session的深入理解
- 深入理解HTTP Session
- 深入理解HTTP Session
- 深入理解HTTP Session
- 深入理解Session Cookie
- 深入理解HTTP Session
- 深入理解HTTP Session
- FTPrep, 14 Longest Common Prefix
- TP3.2的删除缓存与引入第三方库的问题(二)
- APICloud使用chromeDebug
- mybatis 批量插入list对象集合
- MFC中的CMap类使用
- 深入理解session过期机制
- Unity3D中Camera的跟随方案
- tableView的 Plain 和 Grouped 区别
- linux下的.a和.so,对比windows下的lib和dll
- C++ socket 循环发送,循环接收样例
- 微信支付-商户后台(2)
- 移植开源EasyPR的车牌识别源码到Android工程
- JS03-用法
- poi下载excel如何在浏览器直接下载(不弹窗)+隐藏一列