session数据错误是什么意思PHP的Session机制解析2
在鸟哥的博客看到对php session的过期时间的⼀篇⽂章,在此记录。
以下是鸟哥博客原⽂:
今天在我的微博()上发出⼀个问题:
我在⾯试的时候, 经常会问⼀个问题: “如何设置⼀个30分钟过期的Session?”, ⼤家不要觉得看似简单, 这⾥⾯包含的知识挺多, 特别适合考察基本功是否扎实, 谁来回答试试? 呵呵
为什么问这个问题呢?
1. 我在Twitter上看到了有⼈讨论这个,
2 想起来我经常问这个问题, 所以~~
在这⾥, 我来解答下这个题⽬.
第⼀种回答
那么, 最常见的⼀种回答是: 设置Session的过期时间, 也就是, 这种回答是不正确的, 原因如下:
1. ⾸先, 这个PHP是⽤⼀定的概率来运⾏session的gc的, 也就是_probability和_divisor(介绍参看), 这个默认的值分别是1和100, 也就是有1%的机会, PHP会在⼀个Session启动时, 运⾏Session gc. 不能保证到30分钟的时候⼀定会过期.
2. 那设置⼀个⼤概率的清理机会呢? 还是不妥, 为什么? 因为PHP使⽤stat Session⽂件的修改时间来判断是否过期, 如果增⼤这个概率⼀来会降低性能, ⼆来, PHP使⽤”⼀个”⽂件来保存和⼀个会话相关的Session变量, 假设我5分钟前设置了⼀个a=1的Session变量, 5分钟后⼜设置了⼀个b=2的Seesion变量, 那么这个Session⽂件的修改时间为添加b时刻的时间, 那么a就不能在30分钟的时候, 被清理了. 另外还有下⾯第三个原因.
3. PHP默认的(Linux为例), 是使⽤/tmp 作为Session的默认存储⽬录, 并且⼿册中也有如下的描述:
Note: 如果不同的脚本具有不同的 _maxlifetime 数值但是共享了同⼀个地⽅存储会话数据,则具有最⼩数值的脚本会清理数据。此情况下,与 session.save_path ⼀起使⽤本指令。
也就是说, 如果有俩个应⽤都没有指定⾃⼰独⽴的save_path, ⼀个设置了过期时间为2分钟(假设为A), ⼀个设置为30分钟(假设为B), 那么每次当A的Session gc运⾏的时候, 就会同时删除属于应⽤B的Session files.
所以, 第⼀种答案是不”完全严格”正确的.
第⼆种答案
还有⼀种常见的答案是: 设置Session ID的载体, Cookie的过期时间, 也就是. 这种回答也是不正确的, 原因如下:
这个过期只是Cookie过期, 换个说法这点就考察Cookie和Session的区别, Session过期是服务器过期, ⽽Cookie过期是客户端(浏览器)来保证的, 即使你设置了Cookie过期, 这个只能保证标准浏览器到期的时候, 不会发送这个Cookie(包含着Session ID), ⽽如果通过构造请求, 还是可以使⽤这个Session ID的值.
第三种答案
使⽤memcache, redis等, okey, 这种答案是⼀种正确答案. 不过, 很显然出题者肯定还会接着问你, 如果只是使⽤PHP呢?
第四种答案
当然, ⾯试不是为了难倒你, ⽽是为了考察思考的周密性. 在这个过程中我会提⽰出这些陷阱, 所以⼀般来说, 符合题意的做法是:
1. 设置Cookie过期时间30分钟, 并设置Session的lifetime也为30分钟.
2. ⾃⼰为每⼀个Session值增加Time stamp.
3. 每次访问之前, 判断时间戳.
最后, 有同学问, 为什么要设置30分钟的过期时间: 这个, ⾸先这是为了⾯试, 第⼆, 实际使⽤场景的话, ⽐如30分钟就过期的优惠劵?
thanks