题 如何在30分钟后使PHP会话到期?


我需要让会话保持30分钟,然后将其销毁。


935
2018-02-06 13:14


起源


请注意,至少有两个设置对于设置会话时间至关重要,可能还有三个。这两个当然至关重要的是session.gc_maxlifetime和session.cookie_lifetime(其中0与某个长数字不同)。为了完全,100%确定允许长时间,可能还需要设置session.save_path,因为默认情况下会话文件存储在/ tmp目录中的操作系统控制清理时间不同。 - Kzqai
我不明白你为什么要过期。如果您担心用户离开计算机而未注销,并且未经授权的用户接管了他的计算机,则您站点上的会话到期将不会阻止劫持者访问磁盘上的受害者文件。 - Gqqnbig
目前还不清楚你在这里问什么。你的意思是你想要实现一个非常不活动的超时(目前PHP会很乐意让你使用一个会话,但是你没有触及会话超过session.gc_maxlifetime)或者你是不是想要将会话限制在30分钟而不管活动?坦率地说,我认为这里接受的答案对于任何一个问题都是相当糟糕的建议 - 在这两种情况下,逻辑都应该用自定义会话处理程序来实现。 - symcbean


答案:


您应该实现自己的会话超时。其他人提到的两种选择(的session.gc_maxlifetime 和 session.cookie_lifetime)不可靠。我会解释原因。

第一:

的session.gc_maxlifetime
的session.gc_maxlifetime 指定数据被视为“垃圾”并清理的秒数。在会话开始期间发生垃圾收集。

但垃圾收集器只是以概率开始 session.gc_probability合 除以 session.gc_divisor。并使用这些选项的默认值(分别为1和100),机率仅为1%。

好吧,您可以简单地调整这些值,以便更频繁地启动垃圾收集器。但是当垃圾收集器启动时,它将检查每个注册会话的有效性。这是成本密集型的​​。

此外,使用PHP的默认值 session.save_handler 文件,会话数据存储在指定路径中的文件中 的session.save_path。使用该会话处理程序,会话数据的年龄是根据文件的上次修改日期计算的,而不是上次访问日期:

注意: 如果您使用默认的基于文件的会话处理程序,则您的文件系统必须跟踪访问时间(atime)。如果您遇到FAT文件系统或任何其他没有时间跟踪的文件系统,那么Windows FAT不会如此,您将不得不想出另一种方法来处理垃圾收集会话。从PHP 4.2.3开始,它使用了mtime(修改日期)而不是atime。因此,对于无法进行atime跟踪的文件系统,您不会遇到问题。

因此,当会话本身仍然被认为是有效的时,可能还会发生会话数据文件被删除,因为会话数据最近没有更新。

第二个:

session.cookie_lifetime
session.cookie_lifetime 指定发送到浏览器的cookie的生命周期(以秒为单位)。 [...]

恩,那就对了。这仅影响cookie生存期,会话本身可能仍然有效。但是服务器的任务是使会话无效,而不是客户端。所以这对任何事都没有帮助。事实上,拥有 session.cookie_lifetime 设置 0 会使会话的cookie真实 会话cookie 这仅在浏览器关闭之前有效。

结论/最佳解决方案:

最好的解决方案是实现自己的会话超时。使用表示最后一次活动(即请求)的时间的简单时间戳,并使用每个请求更新它:

if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > 1800)) {
    // last request was more than 30 minutes ago
    session_unset();     // unset $_SESSION variable for the run-time 
    session_destroy();   // destroy session data in storage
}
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time stamp

每次请求更新会话数据也会更改会话文件的修改日期,以便垃圾收集器不会过早地删除会话。

您还可以使用额外的时间戳来定期重新生成会话ID,以避免对会话的攻击 会话固定

if (!isset($_SESSION['CREATED'])) {
    $_SESSION['CREATED'] = time();
} else if (time() - $_SESSION['CREATED'] > 1800) {
    // session started more than 30 minutes ago
    session_regenerate_id(true);    // change session ID for the current session and invalidate old session ID
    $_SESSION['CREATED'] = time();  // update creation time
}

笔记:

  • session.gc_maxlifetime 应至少等于此自定义到期处理程序的生命周期(在此示例中为1800);
  • 如果你想在30分钟后过期 活动 而不是30分钟后 从开始,你还需要使用 setcookie 过期了 time()+60*30 保持会话cookie活跃。

1521
2017-08-13 09:24



如果你想检查“非活动时间”,你怎么能改变这个?换句话说,用户登录,只要他们继续使用该站点,它就不会将其注销。但是,如果它们在30分钟内不活动,它会将它们记录下来吗? - Metropolis
@Metropolis:使用类似的东西 $_SESSION['LAST_ACTIVITY'] 如同 $_SESSION['CREATED'] 您存储用户上次活动时间的位置,但每次请求都会更新该值。现在,如果该时间与当前时间的差异大于1800秒,则会话的使用时间不超过30分钟。 - Gumbo
@都会: session_unset 做同样的事 $_SESSION = array()。 - Gumbo
@Gumbo - 我有点困惑,你不应该结合使用你的代码 ini_set('session.gc-maxlifetime', 1800)?否则,您的会话信息可能会在您的会话仍然有效时被销毁,至少如果ini设置是标准的24分钟。或者我错过了什么? - jeroen
@jeron:是的,你应该。但请注意 的session.gc_maxlifetime 如果会话保存处理程序,则取决于文件的上次修改日期 files 用来。所以 的session.gc_maxlifetime 应该至少等于此自定义到期处理程序的生命周期。 - Gumbo


PHP会话在30分钟内到期的简单方法。

注意:如果你想改变时间,只需用你想要的时间改变30,不要改变* 60:这将给出分钟。


几分钟:(30 * 60)
在几天内:(n * 24 * 60 * 60)n =没有天


的login.php

<?php
    session_start();
?>

<html>
    <form name="form1" method="post">
        <table>
            <tr>
                <td>Username</td>
                <td><input type="text" name="text1"></td>
            </tr>
            <tr>
                <td>Password</td>
                <td><input type="password" name="pwd"></td>
            </tr>
            <tr>
                <td><input type="submit" value="SignIn" name="submit1"></td>
            </tr>
        </table>
    </form>
</html>

<?php
    if ($_POST['submit1']) {
        $v1 = "FirstUser";
        $v2 = "MyPassword";
        $v3 = $_POST['text'];
        $v4 = $_POST['pwd'];
        if ($v1 == $v3 && $v2 == $v4) {
            $_SESSION['luser'] = $v1;
            $_SESSION['start'] = time(); // Taking now logged in time.
            // Ending a session in 30 minutes from the starting time.
            $_SESSION['expire'] = $_SESSION['start'] + (30 * 60);
            header('Location: http://localhost/somefolder/homepage.php');
        } else {
            echo "Please enter the username or password again!";
        }
    }
?>

HomePage.php

<?php
    session_start();

    if (!isset($_SESSION['luser'])) {
        echo "Please Login again";
        echo "<a href='http://localhost/somefolder/login.php'>Click Here to Login</a>";
    }
    else {
        $now = time(); // Checking the time now when home page starts.

        if ($now > $_SESSION['expire']) {
            session_destroy();
            echo "Your session has expired! <a href='http://localhost/somefolder/login.php'>Login here</a>";
        }
        else { //Starting this else one [else1]
?>
            <!-- From here all HTML coding can be done -->
            <html>
                Welcome
                <?php
                    echo $_SESSION['luser'];
                    echo "<a href='http://localhost/somefolder/logout.php'>Log out</a>";
                ?>
            </html>
<?php
        }
    }
?>

LogOut.php

<?php
    session_start();
    session_destroy();
    header('Location: http://localhost/somefolder/login.php');
?>

113
2017-09-13 06:39



在MVC成为常态的当今时代,结合逻辑和表达是不明智的。 - stillstanding
也许我错过了一些关于会话的基本内容,但是如果操作系统每30分钟销毁一次会话会有什么好处呢?
@stillstanding为自己说话[微笑]我认为MVC是一种憎恶。
即使项目很小,只有一个程序员,MVC是个好主意吗?我觉得我应该在MVC模型中制作我自己的项目(或者解决问题然后让它成为MVC)但是由于缺乏MVC的经验,它只是成为一个心理障碍“如何制作这个MVC?”并且分散了需要解决方案的初始目标/问题。 - MrVimes


这是在一段时间后将用户注销吗?设置会话创建时间(或到期时间),然后检查每个页面上的负载可以处理它。

例如。:

$_SESSION['example'] = array('foo' => 'bar', 'registered' => time());

// later

if ((time() - $_SESSION['example']['registered']) > (60 * 30)) {
    unset($_SESSION['example']);
}

编辑: 我觉得你的意思是别的。

您可以使用以下内容在一定生命周期后删除会话 session.gc_maxlifetime ini设置:

编辑:     ini_set('session.gc_maxlifetime',60 * 30);


33
2018-02-06 13:20



session.gc-maxlifetime可能是最好的方式。 - Powerlord
会话cookie生命周期存在一些问题,最值得注意的是,它依赖于客户端来强制执行它。 cookie的生命周期是允许客户端清理无用/过期的cookie,不要与任何安全相关的东西混淆。 - Jacco
是吗 gc_maxlifetime 要么 gc-maxlifetime。它是否同时支持下划线和连字符? - Mike Causer


这篇文章展示了几种控制会话超时的方法: http://bytes.com/topic/php/insights/889606-setting-timeout-php-sessions

恕我直言第二个选择是一个很好的解决方案

<?php
/***
 * Starts a session with a specific timeout and a specific GC probability.
 * @param int $timeout The number of seconds until it should time out.
 * @param int $probability The probablity, in int percentage, that the garbage 
 *        collection routine will be triggered right now.
 * @param strint $cookie_domain The domain path for the cookie.
 */
function session_start_timeout($timeout=5, $probability=100, $cookie_domain='/') {
    // Set the max lifetime
    ini_set("session.gc_maxlifetime", $timeout);

    // Set the session cookie to timout
    ini_set("session.cookie_lifetime", $timeout);

    // Change the save path. Sessions stored in teh same path
    // all share the same lifetime; the lowest lifetime will be
    // used for all. Therefore, for this to work, the session
    // must be stored in a directory where only sessions sharing
    // it's lifetime are. Best to just dynamically create on.
    $seperator = strstr(strtoupper(substr(PHP_OS, 0, 3)), "WIN") ? "\\" : "/";
    $path = ini_get("session.save_path") . $seperator . "session_" . $timeout . "sec";
    if(!file_exists($path)) {
        if(!mkdir($path, 600)) {
            trigger_error("Failed to create session save path directory '$path'. Check permissions.", E_USER_ERROR);
        }
    }
    ini_set("session.save_path", $path);

    // Set the chance to trigger the garbage collection.
    ini_set("session.gc_probability", $probability);
    ini_set("session.gc_divisor", 100); // Should always be 100

    // Start the session!
    session_start();

    // Renew the time left until this session times out.
    // If you skip this, the session will time out based
    // on the time when it was created, rather than when
    // it was last used.
    if(isset($_COOKIE[session_name()])) {
        setcookie(session_name(), $_COOKIE[session_name()], time() + $timeout, $cookie_domain);
    }
}

18
2017-10-07 02:31





我明白上面的答案是正确的,但它们是在应用程序级别,为什么我们不简单地使用 .htaccess 文件设置过期时间?

<IfModule mod_php5.c>
    #Session timeout
    php_value session.cookie_lifetime 1800
    php_value session.gc_maxlifetime 1800
</IfModule>

16
2017-07-15 06:16



@Lode的答案给出了完美的解释,为什么不应该使用这个答案是不可靠的。 - emix


if (isSet($_SESSION['started'])){
    if((mktime() - $_SESSION['started'] - 60*30) > 0){
        //Logout, destroy session, etc.
    }
}
else {
    $_SESSION['started'] = mktime();
}

11
2018-02-06 13:21



所以,如果你必须手动构建这个gc_maxlifetime什么时候用于??? - xcy7e 웃


使用 session_set_cookie_params功能使这个。

之前需要调用此函数 session_start() 呼叫。

尝试这个:

$lifetime = strtotime('+30 minutes', 0);

session_set_cookie_params($lifetime);

session_start();

查看更多: http://php.net/manual/function.session-set-cookie-params.php


11
2018-05-13 12:43





使用如下功能实际上很容易。它使用数据库表名称'sessions',字段'id'和'time'。

每当用户再次访问您的站点或服务时,您应调用此函数以检查其返回值是否为TRUE。如果它为FALSE则用户已过期并且会话将被销毁(注意:此函数使用数据库类来连接和查询数据库,当然您也可以在函数内部或类似的情况下执行此操作):

function session_timeout_ok() {
    global $db;
    $timeout = SESSION_TIMEOUT; //const, e.g. 6 * 60 for 6 minutes
    $ok = false;
    $session_id = session_id();
    $sql = "SELECT time FROM sessions WHERE session_id = '".$session_id."'";
    $rows = $db->query($sql);
    if ($rows === false) {
        //Timestamp could not be read
        $ok = FALSE;
    }
    else {
        //Timestamp was read succesfully
        if (count($rows) > 0) {
            $zeile = $rows[0];
            $time_past = $zeile['time'];
            if ( $timeout + $time_past < time() ) {
                //Time has expired
                session_destroy();
                $sql = "DELETE FROM sessions WHERE session_id = '" . $session_id . "'";
                $affected = $db -> query($sql);
                $ok = FALSE;
            }
            else {
                //Time is okay
                $ok = TRUE;
                $sql = "UPDATE sessions SET time='" . time() . "' WHERE session_id = '" . $session_id . "'";
                $erg = $db -> query($sql);
                if ($erg == false) {
                    //DB error
                }
            }
        }
        else {
            //Session is new, write it to database table sessions
            $sql = "INSERT INTO sessions(session_id,time) VALUES ('".$session_id."','".time()."')";
            $res = $db->query($sql);
            if ($res === FALSE) {
                //Database error
                $ok = false;
            }
            $ok = true;
        }
        return $ok;
    }
    return $ok;
}

9
2018-01-24 08:40





在会话中存储时间戳


<?php    
$user = $_POST['user_name'];
$pass = $_POST['user_pass'];

require ('db_connection.php');

// Hey, always escape input if necessary!
$result = mysql_query(sprintf("SELECT * FROM accounts WHERE user_Name='%s' AND user_Pass='%s'", mysql_real_escape_string($user), mysql_real_escape_string($pass));

if( mysql_num_rows( $result ) > 0)
{
    $array = mysql_fetch_assoc($result);    

    session_start();
    $_SESSION['user_id'] = $user;
    $_SESSION['login_time'] = time();
    header("Location:loggedin.php");            
}
else
{
    header("Location:login.php");
}
?>

现在,检查时间戳是否在允许的时间窗口内(1800秒是30分钟)

<?php
session_start();
if( !isset( $_SESSION['user_id'] ) || time() - $_SESSION['login_time'] > 1800)
{
    header("Location:login.php");
}
else
{
    // uncomment the next line to refresh the session, so it will expire after thirteen minutes of inactivity, and not thirteen minutes after login
    //$_SESSION['login_time'] = time();
    echo ( "this session is ". $_SESSION['user_id'] );
    //show rest of the page and all other content
}
?>

6
2018-05-21 11:20





请在包含在每个页面中的包含文件中使用以下代码块。

$expiry = 1800 ;//session expiry required after 30 mins
    if (isset($_SESSION['LAST']) && (time() - $_SESSION['LAST'] > $expiry)) {
        session_unset();
        session_destroy();
    }
    $_SESSION['LAST'] = time();

5
2017-08-26 06:55





使用时间戳...

<?php
if (!isset($_SESSION)) {
    $session = session_start();
} 
if ($session && !isset($_SESSION['login_time'])) {
    if ($session == 1) {
        $_SESSION['login_time']=time();
        echo "Login :".$_SESSION['login_time'];
        echo "<br>";
        $_SESSION['idle_time']=$_SESSION['login_time']+20;
        echo "Session Idle :".$_SESSION['idle_time'];
        echo "<br>";
    } else{
        $_SESSION['login_time']="";
    }
} else {
    if (time()>$_SESSION['idle_time']){
        echo "Session Idle :".$_SESSION['idle_time'];
        echo "<br>";
        echo "Current :".time();
        echo "<br>";
        echo "Session Time Out";
        session_destroy();
        session_unset();
    } else {
        echo "Logged In<br>";
    }
}
?>

我使用了20秒来使用时间戳使会话到期

如果你需要30分钟加1800(30分钟,秒)...


0
2018-03-21 10:40