phpsessionid长度

㈠ php网站的session 在服务器端是如何给客户端分配sessionid的

在PHP.INI里面有一项session.save_path，就是设置session保存位置的。
session是通过cookie来实现的，当浏览器访问一个页面时，php发现在cookie里面没有sessionid这个值，就会产生一个sessionid出来，同时对应一个服务器里面的session文件。然后通过cookie传给浏览器（通过cookie），下次浏览器再访问页面的时候，就会把这个sessionid给带上（也是cookie），然后php通过这个cookie找到对应的session文件，读取session的值。
也就是说如果用户关了cookie那session就用不了了。

以上就是session的原理，不过一般来说你也不需要了解它。

㈡ php 如何设置sessionid的有效期

ini_set('session.gc_maxlifetime',20);//20s

用session.gc_maxlifetime来设置

㈢ 用PHP怎么在session里存多个id

这个你不用担心，每个session都有唯一的session_id，每次生成session，php都会自动生成1条唯一的session

session_id是不会打印出来的

只能另行输出 echo session_id()
或者可以：
Session 的工作机制是：为每个访问者创建一个唯一的 id (UID)，并基于这个 UID 来存储变量。UID 存储在 cookie 中，亦或通过 URL 进行传导。

前序：

首先要明白PHPSESSID看似多次刷新都不会改变其实是没有删除本地相关联的cookie，删除的方法

session_destroy();//删除服务器端的session文件

setcookie(session_name(),'',time()-3600,'/');//删除本地相关联的cookie

session_unset();//清空内存中的cookie或者是$_SESSION = array();

然后再刷新相应的页面你就会看到PHPSESSID会发生变化了，根据此可以得：如果session文件已经创建则不重新生成PHPSESSID,否则需要重新生成，生成规则，就看下边喽……！

--------------------------------------------------------------------------------------------------------------------------------------

现在经过测试应该是不是检测session文件是否存在，而是检测PHPSESSID的cookie是否存在并且是否未过期！特此更正！

------------------------------------------------------------------------------------------------

可能PHP开发者心中多少都思考过这么两个问题：

种植在客户端浏览器中的PHPSESSIONID会出现重复吗？
PHPSESSIONID安全性如何，有没可能被黑客轻易的仿造呢？
带上这个问题，我稍微注意了一下PHP的源码后，疑问也就有了答案。

PHP在使用默认的 session.save_handler = files 方式时，PHPSESSIONID的生产算法原理如下：

hash_func = md5 / sha1 #可由php.ini配置
PHPSESSIONID = hash_func(客户端IP + 当前时间（秒）+ 当前时间（微妙）+ PHP自带的随机数生产器)

从以上hash_func(*)中的数据采样值的内容分析，多个用户在同一台服务器时所生产的PHPSESSIONID重复的概率极低（至少为百万份之一），设想，但台动态Web Server能到2000/rps已经很强悍了。

另外，黑客如果要猜出某一用户的PHPSESSIONID，则他也必须知道“客户端IP、当前时间（秒、微妙）、随机数”等数据方可模拟。

以下是截取PHP源码中PHPSESSIONID实现片段：

gettimeofday(&tv, NULL);

if (
zend_hash_find(&EG(symbol_table), "_SERVER", sizeof("_SERVER"), (void **) &array) == SUCCESS &&
Z_TYPE_PP(array) == IS_ARRAY && zend_hash_find(Z_ARRVAL_PP(array), "REMOTE_ADDR", sizeof("REMOTE_ADDR"), (void **) &token) == SUCCESS)
{
remote_addr = Z_STRVAL_PP(token);
}

spprintf(&buf, 0, "%.15s%ld%ld%0.8F", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10);

switch (PS(hash_func))
{
case PS_HASH_FUNC_MD5:
PHP_MD5Init(&md5_context);
PHP_MD5Update(&md5_context, (unsigned char *) buf, strlen(buf));
digest_len = 16;
break;
case PS_HASH_FUNC_SHA1:
PHP_SHA1Init(&sha1_context);
PHP_SHA1Update(&sha1_context, (unsigned char *) buf, strlen(buf));
digest_len = 20;
break;
default:
php_error_docref(NULL TSRMLS_CC, E_ERROR, "Invalid session hash function");
efree(buf);
return NULL;
}

㈣ php中的sessionId是干什么的

SESSION_ID会话ID。

session_data是编码会话数据。这个数据是在PHP内部编码$_SESSION超全局，以序列化字符串，并把它当作这个参数的结果。

请注意会话使用替代序列化方法。

返回值

会话存储的返回值（通常成功返回 0，失败返回 1）。

㈤ php sessionid怎么获取

用session_id()函数获取

示例:

<?php
session_start();
echosession_id();

?>

㈥ 求php session新手入门教程

1.在php中如何操作session:
session_start(); //使用该函数打开session功能
$_SESSION //使用预定义全局变量操作数据
使用unset($_SESSION['key']) //销毁一个session的值
简单地操作，一切都是由服务器实现；由于处理在后台，一切看起来也很安全。但是session采用什么样机制，又是怎样被实现，并且如何来保持会话的状态的呢？
2.session实现与工作原理
浏览器和服务器采用http无状态的通讯，为了保持客户端的状态，使用session来达到这个目的。然而服务端是怎么样标示不同的客户端或用户呢？
这里我们可以使用生活中的一个例子，假如你参加一个晚会，认识了很多人，你会采取什么方式来区分不同的人呢！你可能根据脸型，也有可能根据用户的名字，
或者人的身份证，即采用一个独一无二的标示。在session机制中，也采用了这样的一个唯一的session_id来标示不同的用户，不同的是：浏览器每次请求都会带上
由服务器为它生成的session_id.
简单介绍一下流程：当客户端访问服务器时，服务器根据需求设置session，将会话信息保存在服务器上，同时将标示session的session_id传递给客户端浏览器，
浏览器将这个session_id保存在内存中(还有其他的存储方式，例如写在url中)，我们称之为无过期时间的cookie。浏览器关闭后，这个cookie就清掉了，它不会存在用户的cookie临时文件。
以后浏览器每次请求都会额外加上这个参数值，再服务器根据这个session_id，就能取得客户端的数据状态。
如果客户端浏览器意外关闭，服务器保存的session数据不是立即释放，此时数据还会存在，只要我们知道那个session_id,就可以继续通过请求获得此session的信息；但是这个时候后台的session还存在，但是session的保存有一个过期时间，一旦超过规定时间没有客户端请求时，他就会清除这个session。
下面介绍一下session的存储机制，默认的session是保存在files中，即以文件的方式保存session数据。在php中主要根据php.ini的配置session.save_handler

来选择保存session的方式。
这里顺便说明一下，如果要做服务器的lvs，即多台server的话，我们一般使用memcached的方式session，否则会导致一些请求找不到session。
一个简单的memcache配置：

session.save_handler = memcache

session.save_path = "tcp://10.28.41.84:10001"
当然如果一定要使用files文件缓存，我们可以将文件作nfs，将所有的保存session文件定位到一个地方。
刚才讲返回给用户的session-id最终保存在内存中，这里我们也可以设置参数将其保存在用户的url中。

3.实例问题
现有系统A,B; 假设A系统是可以独立运行的web系统，即可以和浏览器直接处理session， B系统是基于mobile的，需要调用A系统的功能接口，
在保持A不改变的情况下，即登陆验证，session存储都不变的情况下，B系统能处理前端用户的请求。
这里提供的方案是使用PHP实现
在用户登陆成功后，将保存的session的session-id返回给B系统，然后B系统每次请求其他接口都带session_id。A系统在session_start前加上session_id(session_id);
这样B系统就能安全的调用A

㈦ 关于PHP中SESSION取值的问题

根据您说的状态，好像是本地服务器的 session 设置的时自动启动，网络服务器上的不是自动启动，在两个页面 php 最开始的位置加一行
if(!isset($_SESSION)){session_start();} 来启动session
最好有的代码才能分析出问题。

㈧ 如何设置session的生存时间

如何修改SESSION的生存时间

我们来手动设置 Session 的生存期：

＜?php
session_start();
// 保存一天
$lifeTime = 24 * 3600;
setcookie(session_name(), session_id(), time() + $lifeTime, "/");
?＞
其实 Session 还提供了一个函数 session_set_cookie_params(); 来设置 Session 的生存期的，该函数必须在 session_start() 函数调用之前调用：
＜?php
// 保存一天
$lifeTime = 24 * 3600;
session_set_cookie_params($lifeTime);
session_start();
$_SESSION["admin"] = true;
?＞
如果客户端使用 IE 6.0 ， session_set_cookie_params(); 函数设置 Cookie 会有些问题，所以我们还是手动调用 setcookie 函数来创建 cookie。
php中session过期时间设置
网上很多人给出了解答：修改php配置文件中的session.gc_maxlifetime。如果想了解更多session回收机制，继续阅读。（本文环境php5.2）

概述：每一次php请求，会有1/100的概率（默认值）触发“session回收”。如果“session回收”发生，那就会检查/tmp/sess_*的文件，如果最后的修改时间到现在超过了1440秒（gc_maxlifetime的值），就将其删除，意味着这些session过期失效。

1. session在server端（一般是Apache with PHP mole）如何存在的？

默认的，php会将session保存在/tmp目录下，文件名为这个样子：sess_。每一个文件对应了一个session（会话）。

more /tmp/sess_
username|s:9:”jiangfeng”;admin|s:1:”0″;
#变量名|类型:长度:值
删除这里的session文件，就表示对应的session失效了。

2. session在client端（一般是浏览器）如何存在的？

session在浏览器端，只需要保存session
ID（由server端生成的唯一ID）就可以了。有两种保存方式：在cookie中、在url里面。如果cookie中保存session
ID，就可以看到浏览器的cookie中有一个PHPSESID变量。如果是URL传递的，就可以看到形如:
index.php?PHPSESID=的URL。（在server端通过session.use_cookies来控制使用哪一种方式）

3. 在server端，php如何判断session文件是否过期？

如果”最后的修改时间”到”现在”超过了gc_maxlifetime（默认是1440）秒，这个session文件就被认为是过期了，在下一次session回收的时候，如果这个文件仍然没有被更改过，这个session文件就会被删除（session就过期了）。

简单的说，如果我登录到某网站，如果在1440秒（默认值）内没有操作过，那么对应的session就认为是过期了。

所以，修改php.ini文件中的gc_maxlifetime变量就可以延长session的过期时间了：（例如，我们把过期时间修改为86400秒）

session.gc_maxlifetime = 86400
然后，重启你的web服务（一般是apache）就可以了。

注意：php5里面session过期使用了回收机制。这里设置时间为86400秒，如果session在86400秒内没有被修改过，那么在下一次“回收”时才真的被删除。

3. session“回收”何时发生？

默认情况下，每一次php请求，就会有1/100的概率发生回收，所以可能简单的理解为“每100次php请求就有一次回收发生”。这个概率是通过以下参数控制的

#概率是gc_probability/gc_divisor
session.gc_probability = 1
session.gc_divisor = 100
注意1：假设这种情况gc_maxlifetime=120，如果某个session文件最后修改时间是120秒之前，那么在下一次回收（1/100的概率）发生前，这个session仍然是有效的。

注意2：如果你的session使用session.save_path中使用别的地方保存session，session回收机制有可能不会自动处理过期session文件。这时需要定时手动（或者crontab）的删除过期的session：cd
/path/to/sessions; find -cmin +24 | xargs rm

4. 一些特殊情况

因为回收机制会检查文件的“最后修改时间”，所以如果某个会话是活跃的，但是session的内容没有改变过，那么对应的session文件也就没有改变过，回收机制会认为这是一个长时间没有活跃的session而将其删除。这是我们不愿看到的，可以通过增加如下的简单代码解决这个问题：

<?php
if(!isset($_SESSION['last_access'])||(time()-$_SESSION['last_access'])>60)
$_SESSION['last_access'] = time();
?>
代码会每隔60秒，尝试修改修改一次session。

总结：如果想修改session过期时间，修改变量gc_maxlifetime就可以了。php5的session采用被动的回收机制（garbage
collection）。过期的session文件不会自己消失，而是通过触发“回收”来处理过期的session。

㈨ php session 能存多少

1.session的最大存储容量默认的大小的1024KB，session是存储在IIS或者Apache进程中的session 保存在服务器，如果本机配置服务器环境就是保存在本机电脑上。
2.而且每个session都有唯一的session_id，每次生成session，php都会自动生成1条唯一的session，session_id是不会打印出来的，只能另行输出 echo session_id()