session原理总结

1、session是怎么保存的？怎么去查看其内容？

session是以文件的形式保存的。php.ini中有个配置项--session.save_path= "";这个里面填写的路径，将会使session文件保存在该路径下。session文件的命名格式是："sess_[PHPSESSID的值]"。每一 个文件，里面保存了一个会话的数据。其实只要使用代码$_SESSION['user_id'] = $value;就会促发php的session机制，结果往对应的session文件中写入一个值。

2、session.save_path路径下这么多的session文件，php是如何肯定要调用哪一个session文件的？

php是依据，一个名为PHPSESSID的cookie，根据它的值，肯定要调用哪一个session文件的。去浏览器中，能够看到一个 cookie名为PHPSESSID，假如它的值为"sess_adbjsf2q1ass26oootd163sf84"，那么，当访问服务器的时候，就会调用session目录下名为"sess_sess_adbjsf2q1ass26oootd163sf84"的文件。其实，PHPSESSID就是一个会话id，以此来肯定，哪一个是你的会话数据。

如下是在浏览器查看cookie所看到的

 

cookie的名字PHPSESSID是能够改的，在php.ini中 session.name = PHPSESSID就是设置该cookie的名字。

结合本身实际开发中遇到的问题，总结一下：要说session跟cookie有关联的地方，就是跟PHPSESSID这个cookie有绑定关系。 其余，无论你设置什么cookie，使用session的时候是不会用到这些值的。也没法获取到。好比同步登录，设置即便设置了cookie，而你的应用 是依据session判断是否为登录状态的(事实上也必须如此，由于session保存在服务器端，安全性更高，哪一个依据cookie认为你已经登录，那 么很惨)。

因此，这样的状况就会出现，即便成功设置了cookie。也仍是不能同步登录。

 

3、常常遇到的现象：为何删除一个session文件，以后生成一个session文件，新的文件名字仍是与原来同样？

理解到session文件的命名规则是：“sess_PHPSESSID值“。那么，就很容易明白了。由于，客户端存在 cookie：PHPSESSID。客户端发送请求后，会将该cookie发送给服务器(php可使用$_COOKIE['PHPSESSID']看到 其内容)，这样的话，仍是会根据PHPSESSID生成一个session文件的。

4、如何查看session文件中的session值？

我在开发中发现，若是仅仅依靠session_start()和$_SESSION['user_id']这样的代码，去调试，还不够全面的了解问 题所在。好比，我想知道，session_start()到底在完成哪些操做？若是，想动态，实时知道session的值是如何被改写的，打开一个 session文件，查看是很了然的。原来，里面就是保存的是一些被序列化后的值。也明白一个知识点，"php圣经"中讲解session的时候，提到 session值作被序列化了。下面看到的session内容就是被序列化了。

打开一个session文件，内容以下：

cityID|i:0;cityName|s:3:"all";fanwe_lang|s:5:"zh- cn";fanwe_currency|a:4:{s:2:"id";s:1:"1";s:6:"name_1";s:9:"人民 币";s:4:"unit";s:3:" ￥";s:5:"radio";s:6:"1.0000";}_fanwe_hash__|s:32:"77c18770c6cb5d89444c407aaa3e8477";

 

总结出读取规则：

一、每个session的值是以分号";"分开的。好比“cityID|i:0;cityName|s:3:"all";”就是一个完整的session值结束

二、里面的读取规则：符号“|”前面表示session名称。符号后面是该session的具体信息。包括：数据类型，字符长度，内容。上面第一个就至关于使用以下php代码访问:$_SESSION['cityID']

 

后面的s表示数据值的长度，3表示字符长度。好比这一段：fanwe_lang|s:5:"zh-cn";  fanwe_lang是变量的名称，变量值是"zh-cn",长度恰好是5，就是”s:5“标明的。

最后"all"就表示session的具体值了。就是使用代码$_SESSION['cityID']后会获得的结果。

 

3.一个session能够保存一个数组。符号{}表示数组的内容。上面的花括号{}是$_SESSION['fanwe_currency']所保存的内容。要想查看id的值，就使用代码：$_SESSION['fanwe_currency']['id']

 

5、怎么样理解session_start等函数所作的实际操做是什么？

 

我是这样理解的：session_start，能够当作是建立一个session文件。假若有原来的session文件，或许没有建立。引入一个。往session文件中写值，那是代码“$_SESSION['']=" ";  赋值所完成的操做。
session_start() 生成一个新的session文件名时。会判断是否存在cookie名为PHPSESSID的值。若是存在，那么就会按照它的值，组合成一个文件 名"sess_[phpcookie值]"。因此，在目录下，总是可以看到以前删除过的session文件名。若是将浏览器中对应的cookie(PHPSESSID)删掉。那么就不会生成一样的名字了。若是不存在名为PHPSESSID的cookie。php所作的估计为：先发送一个cookie，而后按照cookie的值生成一个(我能够在浏览器中立刻看到一个名为PHPSESSID的cookie)

其实，如今也更加深入地理解了一个知识：在调用session_start()以前不能有任何输出。有输出就会报错。

session_start()已经封装了发送cookie的操做(发送一个名称为PHPSESSID的cookie到浏览器)。涉及到http的一个原理:头部信息必须在内容以前发送才行。因此，使用echo '内容';

header('Content-type: text/xml; charset=gb2312');//头部信息，不算内容

能够这样认为：session_start()内部已经进行了一次发送头部动做。因此以前不能有任何输出内容。
手册中的英文大体是这样说的：建立一个session，或者恢复当前一个session(基于request请求传递的session id,这里应该值的就是http请求时传递的名为PHPSESSID的cookie)

 

实际开发应用总结：

只要是同一个用户的操做。导航程序访问记录和团购程序访问的记录都是保存在同一个session文件中

若是是不一样的域呢？假如用户访问cs.test.com和daohang.test.com，两方程序都设置了session。那么session的结果保存在同一个session文件中吗？

由于：服务器是统一管理session文件的存放的。而php引擎是根据phpsessionid的值肯定要操做哪一个session文件。session

文件名的格式是："sess_[phpcookie值]"。依次寻找对应的session文件(因而在浏览器查看名为PHPSESSIONID的cookie，过时时间是在会话结束后)
因此，只要cs.test.com和daohang.test.com使用的是同一台服务器。
这样的话，假如是多台服务器的状况。那么就不得不将session保存在数据库中去。这样实现session共享。跟具体的服务器是无关的。

 

（2013年更新：实际上共享session不局限于数据库中保存，关于session共享方案，根据本身的理解一年后写了一篇总结文章，http://www.cnblogs.com/wangtao_20/p/3395518.html）

session 文件是某个用户整个会话过程当中数据。那么，假如cs.test.com和daohang.test.com下的两个程序运行在同一个服务器上。就意味着， 访问cs.test.com与访问daohang.test.com是同一个会话。也就意味着，这两边访问后设置的session数据是保存在同一个 session文件中的。

能够将名为PHPSESSIONID的cookie，其值当作是一个会话的id。会话结束后，该cookie过时或者被删。那么，服务器对应的 session文件(名为"sess_[phpcookie值]")会被删掉吗？查看发现并不会被删掉。因此才会有session文件不少，出现读取性能 的问题。session文件比较多的状况下，产生I/Q读写性能问题。了解到能够将session文件分多个目录保存(参考http://www.jb51.net/article/27941.htm)。php.ini中的配置项session.save_path,前面一个值M能够指定目录的深度级别。这个没测试过。须要用到的时候，再去测试一下。

待解决疑问

1、session的过时时间是怎么肯定的？
查看session文件内容，发现里面有个值设置了session文件的过时时间：__HTTP_Session_Expire_TS|i:1297750868;

已掌握的信息：
PHPSESSID该cookie的过时时间在浏览器中显示：会话结束后过时

全部的session文件没有被自动删掉，只是有个过时时间，以此决定：是新生成一个session文件仍是使用原来的。

原来：服务器按期session清理机制估计会用到这个东西

2、若是没有设置php.ini中的参数。php默认会将session文件保存到什么位置？

附网文：php.ini中配置session参数的说明。

【Session】

[服务端]

session.save_handler = files

默认为file，定义session在服务端的保存方式，file意为把sesion保存到一个临时文件里，若是咱们想自定义别的方式保存

（好比用数据库），则须要把该项设置为user；

session.save_path = "D:/APMServ5.2.0/PHP/sessiondata/"

定义服务端存储session的临时文件的位置。

session.auto_start = 0

如置1，则不用在每一个文件里写session_start(); session自动start ：）

session.gc_probability = 1

session.gc_divisor    = 100

session.gc_maxlifetime = 1440

这三个配置组合构建服务端session的垃圾回收机制

session.gc_probability 与session.gc_divisor构成执行session清理的几率，理论上的解释为服务端按期有必定的几率调用gc函数来对session进行清 理，清理的几率为：gc_probability/gc_divisor 好比：1/100  表示每个新会话初始化时，有

1%的几率会启动垃圾回收程序，清理的标准为session.gc_maxlifetime定义的时间。

 

[客户端]

session.use_cookies = 1

sessionid在客户端采用的存储方式，置1表明使用cookie记录客户端的sessionid，同时，$_COOKIE变量里才会有$_COOKIE[

‘PHPSESSIONID’]这个元素存在；

session.use_only_cookies = 1

也是定义sessionid在客户端采用的存储方式，置1表明仅仅使用 cookie 来存放会话 ID。通常来讲，如今客户端都会支持

cookie，因此建议设置成1，这样能够防止有关经过 URL 传递会话 ID 的攻击。
session.use_trans_sid = 0

相对应于上面那个设置，这里若是置1，则表明容许sessionid经过url参数传递，同理，建议设置成0；

session.referer_check = 

这个设置在session.use_trans_sid = 1的时候才会生效，目的是检查HTTP头中的"Referer"以判断包含于URL中的会话id是否

有效，HTTP_REFERER必须包含这个参数指定的字符串，不然URL中的会话id将被视为无效。因此通常默认为空，即不检查。 
session.name = PHPSESSID

定义sessionid的名称，即变量名，因此经过浏览器http工具看到的http头文件里的PHPSESSID=##############；

session.hash_function = 0

选择session_name的加密方式，0表明md5加密，1表明sha1加密，默认是0，可是听说用sha1方式加密，安全性更高；
session.hash_bits_per_character = 4

指定在session_name字符串中的每一个字符内保存多少位二进制数，这些二进制数是hash函数的运算结果。

4   bits:   0-9,   a-f 

5   bits:   0-9,   a-v 

6   bits:   0-9,   a-z,   A-Z,   "-",   ","

 

url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=,fieldset="

指定重写哪些HTML标签来包含sid(session_id)（仅在"session.use_trans_sid"打开的状况下有效），URL重写器将添加一个

隐藏的"<input>"，它包含了本应当额外追加到URL上的信息。 

session.cookie_lifetime = 0

保存sessionid的cookie文件的生命周期，如置0，表明会话结束，则sessionid就自动消失，常见的强行关闭浏览器，就会丢

失上一次的sessionid；

session.cookie_path = /

保存sessionid的cookie文件在客户端的位置；

session.cookie_domain = /

保存sessionid的cookie的域名设置，这跟cookie容许的域名的访问权限设置有关，通常来讲想让本身网站全部的目录都能访

问到客户端的cookie，就应该设置成“/”如须要详细了解，能够看下setcookie()函数的domain参数相关设置和使用方法；

session.bug_compat_42 = 1

session.bug_compat_warn = 1

这两个能够说几乎是快要被废弃的设置，是为了老版本的php服务的，主要是针对 session_register函数，由于php5的

register_global默认是关闭状态，因此在php5里根本用不到 session_register这个函数；而且php6就要废除这个设置，直接定义为关闭，因此不必研究这两个了；

今天无心中看php手册，注意到这句话：

在某些操做系统上，建议使用能够高效处理 大量小尺寸文件的文件系统上的路径来保存会话数据。 例如，在 Linux 平台上，对于会话数据保存的工做而言，reiserfs 文件系统会比 ext2fs 文件系统可以提供更好的性能。

这个是好的方向。session的数据通常很小。适合小文件的文件系统来使用，而咱们的传统的文件系统不太适合。

原文地址：http://www.cnblogs.com/wangtao_20/archive/2011/02/16/1955659.html