如何嚴格限制session在30分鐘後過期！ 1.設定客戶端cookie的lifetime為30分鐘； 2.設定session的最大存活週期也為30分鐘； 3.為每個session值加入時間戳，然後在程式呼叫時進行判斷；

至於為什麼，我們首先來了解下PHP中session的基本原理：

php中的session有效期預設是1440秒（24分鐘），也就是說，客戶端超過24分鐘沒有重新整理，當前session就會失效。當然如果使用者關閉了瀏覽器，會話也就結束了，Session自然也不存在了！ 大家知道，Session儲存在伺服器端，根據客戶端提供的SessionID來得到這個使用者的檔案，然後讀取檔案，取得變數的值，SessionID可以使用客戶端的Cookie或者Http1.1協議的 Query_String（就是訪問的URL的“?”後面的部分）來傳送給伺服器，然後伺服器讀取Session的目錄…… 要控制Session的生命週期，首先我們需要了解一下php.ini關於Session的相關設定（開啟php.ini檔案，在“[Session]”部分）： 1、session.use_cookies

：預設的值是“1”，代表SessionID使用Cookie來傳遞，反之就是使用Query_String來傳遞； 2、session.name：這個就是SessionID儲存的變數名稱，可能是Cookie，也可能是Query_String來傳遞，預設值是“PHPSESSID”； 3、session.cookie_lifetime：這個代表SessionID在客戶端Cookie儲存的時間，預設是0，代表瀏覽器一關閉SessionID就作廢……就是因為這個所以Session不能永久使用！ 4、session.gc_maxlifetime：這個是Session資料在伺服器端儲存的時間，如果超過這個時間，那麼Session資料就自動刪除！ 還有很多的設定，不過和本文相關的就是這些了，下面開始講如何設定Session的存活週期。 前面說過，伺服器通過SessionID來讀取Session的資料，但是一般瀏覽器傳送的SessionID在瀏覽器關閉後就沒有了，那麼我們只需要人為的設定SessionID並且儲存下來，不就可以…… 如果你擁有伺服器的操作許可權，那麼設定這個非常非常的簡單，只是需要進行如下的步驟： 1、把“session.use_cookies”設定為1，使用Cookie來儲存SessionID，不過預設就是1，一般不用修改； 2、把“session.cookie_lifetime”改為你需要設定的時間（比如一個小時，就可以設定為3600，以秒為單位）; 3、把“session.gc_maxlifetime”設定為和“session.cookie_lifetime”一樣的時間； 在PHP的文件中明確指出，設定session有效期的引數是session.gc_maxlifetime。可以在php.ini檔案中，或者通過ini_set()函式來修改這一引數。問題在於，經過多次測試，修改這個 引數基本不起作用，session有效期仍然保持24分鐘的預設值。 由於PHP的工作機制，它並沒有一個daemon執行緒，來定時地掃描session資訊並判斷其是否失效。當一個有效請求發生時，PHP會根據全域性變數session.gc_probability/session.gc_divisor（同樣可以通過php.ini或者ini_set()函式來修改）的值，來決定是否啟動一個GC（Garbage Collector）。 預設情況下，session.gc_probability ＝ 1，session.gc_divisor ＝100，也就是說有1%的可能性會啟動GC。GC的工作，就是掃描所有的session資訊，用當前時間減去session的最後修 改時間（modified date），同session.gc_maxlifetime引數進行比較，如果生存時間已經超過gc_maxlifetime，就把該session刪除。 到此為止，工作一切正常。那為什麼會發生gc_maxlifetime無效的情況呢？ 在預設情況下，session資訊會以文字檔案的形式，被儲存在系統的臨時檔案目錄中。在Linux下，這一路徑通常為\tmp，在 Windows下通常為C:\Windows\Temp。當伺服器上有多個PHP應 用時，它們會把自己的session檔案都儲存在同一個目錄中。同樣地，這些PHP應用也會按一定機率啟動GC，掃描所有的session檔案。

問題在於，GC在工作時，並不會區分不同站點的session。舉例言之，站點A的gc_maxlifetime設定為2小時，站點B的 gc_maxlifetime設定為預設的24分鐘。當站點B的GC啟動時，它會掃 描公用的臨時檔案目錄，把所有超過24分鐘的session檔案全部刪除掉，而不管它們來自於站點A或B。這樣，站點A的gc_maxlifetime設定就形同虛設了。 找到問題所在，解決起來就很簡單了。修改session.save_path引數，或者使用session_save_path()函式，把儲存session的目錄指向一個專用的目錄，gc_maxlifetime引數工作正常了。

還有一個問題就是，gc_maxlifetime只能保證session生存的最短時間，並不能夠儲存在超過這一時間之後session資訊立即會得到刪除。因為GC是按機率啟動的，可能在某一個長時間內 都沒有被啟動，那麼大量的session在超過gc_maxlifetime以後仍然會有效。 解決這個問題的一個方法是，把session.gc_probability/session.gc_divisor的機率提高，如果提到100%，就會徹底解決這個問題，但顯然會對效能造成嚴重的影響。另一個方法是自己

只使用php實現，建立一個session類，在session寫入時，把過期時間也寫入。讀取時，根據過期時間判斷是否已過期。

 class Session{  
      
        /** 
         * 設定session 
         * @param String $name   session name 
         * @param Mixed  $data   session data 
         * @param Int    $expire 超時時間(秒) 
         */  
        public static function set($name, $data, $expire=600){  
            $session_data = array();  
            $session_data['data'] = $data;  
            $session_data['expire'] = time()+$expire;  
            $_SESSION[$name] = $session_data;  
        }  
      
        /** 
         * 讀取session 
         * @param  String $name  session name 
         * @return Mixed 
         */  
        public static function get($name){  
            if(isset($_SESSION[$name])){  
                if($_SESSION[$name]['expire']>time()){  
                    return $_SESSION[$name]['data'];  
                }else{  
                    self::clear($name);  
                }  
            }  
            return false;  
        }  
      
        /** 
         * 清除session 
         * @param  String  $name  session name 
         */  
        private static function clear($name){  
            unset($_SESSION[$name]);  
        }  
      
    }  
    //demo.php  
      
    session_start();  
      
    $data = '123456';  
    session::set('test', $data, 10);  
    echo session::get('test'); // 未過期，輸出  
    sleep(10);  
    echo session::get('test'); // 已過期