我想在 php 中延长会话超时
我知道可以通过修改 php.ini 文件来做到这一点。但我无权访问它。
那么是否可以仅使用 php 代码来实现呢?
如果你想要严格的保证,会话超时是一个必须在代码中实现的概念;这是您可以绝对确定没有任何会话在 X 分钟不活动后将继续存在 的唯一方法。
如果稍微放宽这个要求是可以接受的,并且您可以设置一个 下限 而不是对持续时间的严格限制,那么您可以轻松地做到这一点,而无需编写自定义逻辑。
如果 您的会话是使用 cookie 实现的(它们可能是),并且 如果 客户端不是恶意的,您可以通过调整某些参数来设置会话持续时间的上限。如果您将 PHP 的默认会话处理与 cookiesession.gc_maxlifetime一起使用,那么设置 和session_set_cookie_params应该对您有用,如下所示:
session.gc_maxlifetime
session_set_cookie_params
// server should keep session data for AT LEAST 1 hour ini_set('session.gc_maxlifetime', 3600); // each client should remember their session id for EXACTLY 1 hour session_set_cookie_params(3600); session_start(); // ready to go!
这通过配置服务器以保持会话数据至少一小时不活动并指示您的客户端他们应该在相同的时间跨度后“忘记”他们的会话 ID 来工作。 这两个步骤都需要达到预期的结果。
GC 是一个潜在的昂贵过程,因此通常概率相当小甚至为零(获得大量点击的网站可能会完全放弃概率 GC,并安排它每 X 分钟在后台发生一次)。在这两种情况下(假设非合作客户端),有效会话生命周期的下限将是session.gc_maxlifetime,但上限将是不可预测的。
您可以通过使用自定义逻辑对会话不活动设置 上限,从而使事情完全可控; 加上上面的下限,这导致了严格的设置。
通过将上限与其余会话数据一起保存来做到这一点:
session_start(); // ready to go! $now = time(); if (isset($_SESSION['discard_after']) && $now > $_SESSION['discard_after']) { // this session has worn out its welcome; kill it and start a brand new one session_unset(); session_destroy(); session_start(); } // either new or old, it should live at most for another hour $_SESSION['discard_after'] = $now + 3600;
到目前为止,我们根本不关心每个会话 id 的确切值,只关心数据只要我们需要就应该存在的要求。请注意,在(不太可能)会话 ID 对您很重要的情况下,必须小心session_regenerate_id在需要时重新生成它们。
session_regenerate_id