PHP中怎样保持SESSION不过期 原理及方案介绍(2)

但是同时，如果我们希望用户的session马上过期的话，我们就可以通过设置cookie的办法来实现。SESSION的回收是在每次访问页面的时候进 行的，回收的机率由session.gc_probability，session_gc_divisor指定，默认士1/100。如果设置为1，则每次 超过了SESSION的生存周期去访问的话，SESSION一定会被回收。

两种需求：
1、保持SESSION不过期或延长SESSION过期时间；
2、使SESSION立即过期。

1、保持SESSION不过期和延长SESSION过期时间非常必要，特别是在内部应用系统中或者有很大的表单的时候。想想你的老板在填写一个表单，刚好 碰上午饭时间，留着这个表单等吃饭回来，填写完剩余的内容，提交后他看到什么，一般来说都是一个登录界面。想要提高用户体验，关键是要让老板的表单不出问 题，我们就必须延长SESSION的生存周期。

保持SESSION不过期和延长SESSION过期时间，可以通过设置session.gc_maxlifetime来实现，不过首先需要保证客户端的 cookie不会在gc执行回收之前失效。通过设置一个较长的gc_maxlifetime可以实现延长session的生存周期，可是对于不是所有请求 都会保持很久的应用来说，这么做对于服务器配置显然不是一个最佳的选择。
我们知道SESSION的回收机制是根据SESSION文件的最后访问时间来判断的，如果超过了maxlifetime，则根据回收机率进行回收。所以我们只需要定期的去访问一下SESSION就可以了，而这可以通过刷新页面来实现，根据这个思路，解决的方法就有了。

通过JS定期的去访问页面；
利用Iframe定期的刷新页面；

直接利用程序发送HTTP请求，这样就可以避免在页面中嵌入其他的元素；

下面是利用JS发送请求实现的保持SESSION不过期的实现方法，这样我们就只需要在需要SESSION保持长时间的页面（比如大表单页面）。

复制代码 代码如下:

<script type=”text/javascript”>
 function keepMeAlive(imgName){
myImg = document.getElementById(imgName);
 if(myImg) myImg.src = myImg.src.replace(/\?.*$/, ‘?' + Math.random());
}
window.setInterval(“keepMeAlive(‘phpImg');”, 4000);
 </script>

<img id=”phpImg” src=https://www.jb51.net/”http:/www.phpplot.com/phpplot/session/sess_refresh.php?” width=”1″ height=”1″ />
其中URL后加入一个随机数是为了避免这个链接的请求被浏览器缓存。

2、使SESSION立即过期的方法就比较多了，我们可以session_destroy()，也可以用上面的思路，请求一个session_destroy的页面。

SESSION安全吗？
PHP的手册中明确写出：SESSION并不能保证储存在SESSION中的信息一定只能被他的创建者所看到。

如果想要安全的处理一些远程的操作，那么HTTPS是唯一的选择。最基本的，不要认为一个用户信息在SESSION中存在就认为这个用户一定就是他本人， 虽然SESSION中的信息会给你他已经经过了用户名和密码验证的假象。所以，如果需要做一些修改密码或者类似的事情的时候，让用户重新输入密码是一个比 较好的选择。

早期的Apache版本并没有采用COOKIE的方式来存储PHPSESSID，而是采用的URL-rewrite，也就是每个URL后面都会加上 PHPSESSID=<sessionid>来表明它属于那个激活的SESSION，新版的Apache已经将这个属性设置为默认关闭。

复制代码 代码如下:

session.use_trans_id = 0;

所以从这个意义上来讲，延长SESSION的时间过长或者保持SESSION一直在线对于安全来说始终不是一件好事情。终极的解决办法就是用户提交跳转到 登录窗口，登录后又能够回到填写页面，并且所有的数据都还在。这个的实现方式现在用Ajax来解决应该没什么困难，每隔一定时间就把当前的用户数据 POST到一个存储位置，不管是XML或者JSON。

拾遗：
对于客户端不支持JavaScript的情况可以采用的方法：
1、写一个浮层，显示在最顶层，如果用户未禁用JS，则让浮层消失；
2、将所有的INPUT都设置为disable，然后再用JS设置为enabled；
以上这两种方式都是在JS被禁用的时候，所有功能都不能用，如何在JS被禁用的情况下使我们的应用仍然正常工作，这个貌似就比较困难。实现这个的所花的时间和所收到的效果大家要权衡一下。

您可能感兴趣的文章: