再探PHP session

转载请注明来自souldak，微博:@evagle

以前对session和cookie其实还是模模糊糊的，今天用yii框架的时候遇到 session_regenerate_id(): Session object destruction failed这个错误，所以又看了看session的工作机理。

从W3Cschool中截取session的定义：

当您运行一个应用程序时，您会打开它，做些更改，然后关闭它。这很像一次会话。计算机清楚你是谁。它知道你何时启动应用程序，并在何时终止。但是在因特网上，存在一个问题：服务器不知道你是谁以及你做什么，这是由于 HTTP 地址不能维持状态。

通过在服务器上存储用户信息以便随后使用，PHP session 解决了这个问题（比如用户名称、购买商品等）。不过，会话信息是临时的，在用户离开网站后将被删除。如果您需要永久储存信息，可以把数据存储在数据库中。

Session 的工作机制是：为每个访问者创建一个唯一的 id (UID)，并基于这个 UID 来存储变量。UID 存储在 cookie 中，亦或通过 URL 进行传导。

我们先来看看session的生命周期，这个对于理解session很重要。

1. session何时创建？

 简单的说Sessinon在用户访问第一次访问服务器时创建，session是由php，jsp，asp等web语言创建的，访问静态html页面是不会创建的。我们以php为例：

a）当用户X访问一个php页面，如果页面最开始有session_start()函数，那这个时候服务器端就会创建一个session，会产生一个session_id。这个ID是唯一的，每个用户不同。

b) 这个session id会存储在PHP的$_SESSION变量中，我们同时可以设置cookie在用户的浏览器上。

c) 然后用户跳转到网站其他页面时，只要告诉浏览器这个cookie里存储的session id，然后服务器就取出这个session id对应的存储的信息，就知道这个用户是谁，那在另一个页面也能显示用户的这些信息。

d) session创建之后，就可以存储其他用户相关的信息了，例如存储用户购物车的物品信息。

e) Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。用户每访问服务器一次，无论是否读写Session，服务器都认为该用户的Session“活跃”了一次。

所以，用户访问一个网站，正常来说从打开到结束（除非session太快失效）都是在同一个session里，无论他在这个网站中如何跳转，都能够访问这个session内容。

PHP中 session_id()函数可以看到当前的session_id的信息。因为一个网站可以有很多个用户同时访问，PHP会为每个用户生成唯一的session_id。这样不会相互干扰，因为每个用户都是由独立的进程在处理的，用户A所在的进程存储了A的session_id, 直到这个session失效。

总之，一般是在用户登录网站的时候设置好session，然后用户退出的时候关闭或者清理session（关闭还是清理随业务需求）。

2. session何时失效？

a） 由于会有越来越多的用户访问服务器，因此Session也会越来越多。为防止内存溢出，服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器，Session就自动失效了。

b） 调用Session的invalidate方法。

参考：http://www.w3school.com.cn/php/php_sessions.asp

然后常用的几个PHP的session相关的函数：

    session_start — Start new or resume existing session      session开始
    session_id — Get and/or set the current session id  获得session id
    session_status — Returns the current session status   获得session status，有三个状态

• PHP_SESSION_DISABLED if sessions are disabled.
• PHP_SESSION_NONE if sessions are enabled, but none exists.
• PHP_SESSION_ACTIVE if sessions are enabled, and one exists.

    session_regenerate_id — Update the current session id with a newly generated one  为现在的session重新分配
    session_destroy — Destroys all data registered to a session  彻底删除整个session
    session_unset — Free all session variables  删除当前session所存储的所有变量

更多请参考:http://www.php.net/manual/en/ref.session.php