百度的電話面試第一個問題就問到了這個,現在寫下來,牢記於心吧。
PHP 透明地支持 HTTP cookie。cookie 是一種在遠程瀏覽器端儲存數據並以此來跟蹤和識別用戶的機制。
在解決問題之前,先來了解一下 PHP SESSION 的工作原理。在客戶端(如瀏覽器)登錄網站時,被訪問的 PHP 頁面可以使用 session_start() 打開 SESSION,這樣就會產生客戶端的唯一標識 SESSION ID(此 ID 可通過函數 session_id() 獲取/設置)。SESSION ID 可以通過兩種方式保留在客戶端,使得請求不同的頁面時,PHP 程序可以獲知客戶端的 SESSION ID;一種是將 SESSION ID 自動加入到 GET的 URL 中,或者 POST 的表單中,默認情況下,變量名爲 PHPSESSID;另一種是通過 COOKIE,將SESSION ID 保存在 COOKIE 中,默認情況下,這個 COOKIE 的名字爲 PHPSESSID。這裏我們主要以COOKIE 方式進行說明,因爲應用比較廣泛。
那麼 SESSION 的數據保存在哪裏呢?當然是在服務器端,但不是保存在內存中,而是保存在文件或數據庫中。默認情況下,php.ini 中設置的 SESSION 保存方式是 files(session.save_handler = files),即使用讀寫文件的方式保存 SESSION 數據,而 SESSION 文件保存的目錄由session.save_path 指定,文件名以 sess_ 爲前綴,後跟 SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。當寫入 SESSION 數據的時候,PHP 會獲取到客戶端的 SESSION_ID,然後根據這個 SESSION ID 到指定的 SESSION 文件保存目錄中找到相應的SESSION 文件,不存在則創建之,最後將數據序列化之後寫入文件。讀取 SESSION 數據是也是類似的操作流程,對讀出來的數據需要進行反序列化,生成相應的 SESSION 變量。
在談論session機制的時候,常常聽到這樣一種誤解“只要關閉瀏覽器,session就消失了”。其實可以想象一下會員卡的例子,除非顧客主動對店家提出銷卡,否則店家絕對不會輕易刪除顧客的資料。對session來說也是一樣的,除非程序通知服務器刪除一個session,否則服務器會一直保留,程序一般都是在用戶做log off的時候發個指令去刪除session。然而瀏覽器從來不會主動在關閉之前通知服務器它將要關閉,因此服務器根本不會有機會知道瀏覽器已經關閉,之所以會有這種錯覺,是大部分session機制都使用會話cookie來保存session id,而關閉瀏覽器後這個session id就消失了,再次連接服務器時也就無法找到原來的session。如果服務器設置的cookie被保存到硬盤上,或者使用某種手段改寫瀏覽器發出的 HTTP請求頭,把原來的session id發送給服務器,則再次打開瀏覽器仍然能夠找到原來的session。
恰恰是由於關閉瀏覽器不會導致session被刪除,迫使服務器爲seesion設置了一個失效時間,當距離客戶端上一次使用session的時間超過這個失效時間時,服務器就可以認爲客戶端已經停止了活動,纔會把session刪除以節省存儲空間。