PHP如何保存Session值 PHP Session操作的5个技巧

session过期后数据会丢失，因为默认存储在服务器上并由垃圾回收机制清理；防止session劫持需使用https、设置cookie属性、定期更换session id、验证用户信息、缩短过期时间及使用token；跨域共享session可通过设置cookie域、jsonp、cors、postmessage或sso实现；session数据默认存于服务器文件中，也可存入数据库或缓存系统如redis；销毁session需依次执行session_unset()、删除cookie及session_destroy()以确保彻底清除。

PHP保存Session值，简单来说，就是利用$_SESSION这个全局变量，把你想存的数据放进去。但Session的背后，其实涉及到服务器和客户端之间如何维持状态，以及一些安全和性能上的考量。

PHP Session操作，可以理解为一系列对$_SESSION数组的操作，以及一些配置选项的调整。

Session过期后，存储的数据会丢失吗？

是的，Session过期后，存储的数据会丢失。Session的数据默认是存储在服务器上的，当Session过期或者被销毁时，服务器会清除这些数据。客户端只是保存一个Session ID，用来告诉服务器“我是谁”。

立即学习“PHP免费学习笔记（深入）”；

具体来说，Session的过期时间由session.gc_maxlifetime配置项决定，单位是秒。当Session长时间没有活动时，服务器的垃圾回收机制（garbage collection）可能会清理掉这些Session数据。

还有一种情况是，如果用户手动关闭了浏览器，或者清除了浏览器的Cookie，那么Session ID也会丢失，导致服务器无法找到对应的Session数据，相当于Session失效了。

所以，如果需要长期保存数据，不要依赖Session。可以考虑使用数据库、文件或者Cookie等方式来存储。

如何防止Session劫持？

Session劫持是指攻击者通过某种方式获取了用户的Session ID，然后冒充用户进行非法操作。防止Session劫持，可以从以下几个方面入手：

1. 使用HTTPS： HTTPS可以加密客户端和服务器之间的通信，防止Session ID在传输过程中被窃取。这是最基本也是最重要的一点。

2. 设置session.cookie_httponly = true： 这个配置项可以防止客户端脚本（如JavaScript）访问Session Cookie，从而降低XSS攻击的风险。

3. 设置session.cookie_secure = true： 这个配置项可以确保Session Cookie只在HTTPS连接下传输。

4. 定期更换Session ID： 可以使用session_regenerate_id()函数来定期更换Session ID，即使攻击者获取了之前的Session ID，也会失效。注意，更换Session ID后，原来的Session数据仍然有效。

5. 验证用户代理（User Agent）和IP地址： 可以在Session中存储用户的User Agent和IP地址，并在每次请求时进行验证。如果User Agent或IP地址发生变化，可以认为Session可能被劫持，并销毁Session。但是，这种方法可能会导致误判，因为用户的IP地址可能会因为网络环境的变化而改变。

6. 设置合理的Session过期时间： 缩短Session的过期时间，可以降低Session被劫持的风险。

7. 使用Session Token： 每次生成页面时，生成一个随机的Token，并将这个Token存储在Session中。同时，将这个Token嵌入到页面中的表单或者链接中。在处理表单提交或者链接点击时，验证Token是否匹配。这样可以防止CSRF攻击，也能在一定程度上防止Session劫持。

如何跨域共享Session？

跨域共享Session是一个比较复杂的问题，涉及到浏览器的同源策略。简单来说，如果两个网站的域名、协议或者端口号不同，就被认为是跨域的。默认情况下，浏览器不允许跨域访问Cookie，因此Session也无法跨域共享。

以下是一些常用的跨域共享Session的方法：

1. 设置session.cookie_domain： 可以将session.cookie_domain设置为顶级域名，例如.example.com。这样，所有子域名下的网站都可以访问这个Session Cookie。但是，这种方法只适用于父子域名之间。

2. 使用JSONP： JSONP是一种利用<script>标签的跨域请求方式。可以将Session ID作为参数传递给另一个域名的服务器，然后服务器返回一段JavaScript代码，将Session ID设置到另一个域名的Cookie中。但是，JSONP只支持GET请求，而且存在安全风险。</script>

3. 使用CORS： CORS（Cross-Origin Resource Sharing）是一种W3C标准，允许服务器设置HTTP头部，告诉浏览器允许哪些域名进行跨域访问。需要在服务器端设置Access-Control-Allow-Origin头部，指定允许跨域访问的域名。

4. 使用PostMessage： PostMessage是一种HTML5 API，允许不同域名下的网页之间进行通信。可以将Session ID通过PostMessage发送给另一个域名的网页，然后另一个域名的网页将Session ID设置到Cookie中。

5. 使用统一认证中心（SSO）： SSO是一种集中管理用户身份验证的解决方案。用户只需要在一个网站登录一次，就可以访问所有集成了SSO的网站。SSO通常使用OAuth或者SAML等协议来实现。

选择哪种方法，取决于具体的应用场景和安全需求。

Session数据存储在哪里？

Session数据默认存储在服务器上的文件中。具体存储位置由session.save_path配置项决定。默认情况下，存储在/tmp目录下。

也可以将Session数据存储在数据库中。需要实现SessionHandlerInterface接口，并使用session_set_save_handler()函数来注册自定义的Session处理函数。

将Session数据存储在数据库中，可以方便地进行Session数据的管理和备份，也更容易实现Session的持久化。

还可以将Session数据存储在Redis或者Memcached等缓存系统中。这种方式可以提高Session的读写性能。

如何销毁Session？

销毁Session，可以使用以下步骤：

1. session_unset()： 清空$_SESSION数组中的所有值。

2. session_destroy()： 销毁Session。这个函数会删除服务器上的Session数据。

3. 删除Session Cookie： 为了确保客户端也清除了Session ID，需要删除Session Cookie。可以使用setcookie()函数来删除Cookie，将Cookie的过期时间设置为过去的时间。

以下是一个完整的销毁Session的示例代码：

<?php
session_start();

// 清空$_SESSION数组
session_unset();

// 删除Session Cookie
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}

// 销毁Session
session_destroy();
?>