1

主要是不太明白session的生存周期是如何计算的,它是如何携带状态信息的,望大家指教。

4个回答

24

已采纳

其实session不是php独有的概念,所有的web应用都要涉及到会话(session)。它其实就是保存状态信息的一种机制。

很多人没有想过什么是状态信息,或者web里为什么会有这个机制。其实这跟web的特点是紧密相连的,web是没有长连接的,每个请求过去后,就与服务器断开连接了,这样对服务器来说每个请求都是新请求,所以它没有延续性,没有延续性就没有状态。

但是对我们来说无状态显然不可接受,我不可能每个页面都要求用户输入用户名密码吧,我们需要的是状态?什么是状态,就是可以延续的态,不管发送多少个请求,我都可以保持应有的态。因此我们要解决两个问题

  1. 怎样保存状态
  2. 怎样获取状态

于是session机制就应运而生了,其浏览器和服务器的交互机制可以理解为

  1. 浏览器对服务器说:"嗨,亲爱的,我来了(发起请求),但每天都有无数跟我长的一样家伙来找你,我可不希望跟别人分享那份只属于我们的记忆(状态)"
  2. 服务器对浏览器说:"不要紧,我把对你记忆都锁在这个盒子(session存储,file,memcached或者其它什么玩意)里了,把钥匙(session key)给你(Set-Cookie)"
  3. 浏览器说:"好的,我放在荷包(Cookie)里了。我走了,88(请求完成)"
  4. 第二天(第二次请求),浏览器又来找服务器了:"嗨,我又来了,用我荷包里的钥匙,打开你的记忆之盒吧"
  5. 服务器说:"打开了!真的是你,想死我了..."
2
回复 张京

理论上如果恶意软件可以偷走你的session key,它也可以偷走你正在输入的用户名和密码。而且相对来说偷走后者的危害性更大,因为用户名和密码有可能是用在多个网站上的。因此用匿名的session key来保存登录状态是一种即使有损失也能很快止损的做法。

joyqi · 2016年07月23日

展开评论
6

影响php session生命周期的有两个因素,一个是Server端的session信息是否还存活,另一个是Browser端存在Cookie里的PHPSESSID是否还在。
Server端的session信息,当启动session的时候创建,一般放在一个文件里,php启动gc的时候会被回收掉
Client端的Cookie里记录的PHPSESSID记录了一个哈希值,指向一个Server端的session,当这个Cookie失效的时候,这个哈希值没了,session也就失效了。
PHPSESSID

通过:

phpinfo();

可以看到Session的一系列配置,这些配置也可影响Session的生命周期。
PHPINFO_SESSION

3

Php 在各个请求之间传递的是session id, 然后将session数据存放在服务器端的文件或者数据库中,也有为了性能的提升保存在内存中的。无非就是三种方式:

1. 通过http请求中的Cookies头部来传递session id
2. 通过http get请求来传递session id, 也就是将session id 放在url参数中
3. 通过http post请求来传递session id,也就是将session id 放在post数据中进行传递

我在自己的博客中结合http写了一篇阐述php session本质的文章 - http://www.360weboy.com/php/session-c...。 有兴趣的话,你可以细细读下,如果发现有什么不妥之处,你可以在评论中指出来,我会核对加以纠正。 希望更志同道合的朋友一起分享技术思想。

0

70 回答的好幽默,好形象。(然后一不小心写错地方了。)

该答案已被忽略,原因:

撰写答案

相似问题