第一種回答
那么, 最常見的一種回答是: 設(shè)置Session的過期時間, 也就是session.gc_maxlifetime, 這種回答是不正確的, 原因如下:
首先, 這個PHP是用一定的概率來運行session的gc的, 也就是session.gc_probability和session.gc_divisor(介紹參看 深入理解PHP原理之Session Gc的一個小概率Notice), 這個默認(rèn)的值分別是1和100, 也就是有1%的機(jī)會, PHP會在一個Session啟動時, 運行Session gc. 不能保證到30分鐘的時候一定會過期.
那設(shè)置一個大概率的清理機(jī)會呢? 還是不妥, 為什么? 因為PHP使用stat Session文件的修改時間來判斷是否過期, 如果增大這個概率一來會降低性能, 二來, PHP使用”一個”文件來保存和一個會話相關(guān)的Session變量, 假設(shè)我5分鐘前設(shè)置了一個a=1的Session變量, 5分鐘后又設(shè)置了一個b=2的Seesion變量, 那么這個Session文件的修改時間為添加b時刻的時間, 那么a就不能在30分鐘的時候, 被清理了. 另外還有下面第三個原因.
PHP默認(rèn)的(Linux為例), 是使用/tmp 作為Session的默認(rèn)存儲目錄, 并且手冊中也有如下的描述:
Note: 如果不同的腳本具有不同的 session.gc_maxlifetime 數(shù)值但是共享了同一個地方存儲會話數(shù)據(jù)���,則具有最小數(shù)值的腳本會清理數(shù)據(jù)�。此情況下�,與 session.save_path 一起使用本指令。
也就是說, 如果有倆個應(yīng)用都沒有指定自己獨立的save_path, 一個設(shè)置了過期時間為2分鐘(假設(shè)為A), 一個設(shè)置為30分鐘(假設(shè)為B), 那么每次當(dāng)A的Session gc運行的時候, 就會同時刪除屬于應(yīng)用B的Session files.
所以, 第一種答案是不”完全嚴(yán)格”正確的.
第二種答案
還有一種常見的答案是: 設(shè)置Session ID的載體, Cookie的過期時間, 也就是session.cookie_lifetime. 這種回答也是不正確的, 原因如下:
這個過期只是Cookie過期, 換個說法這點就考察Cookie和Session的區(qū)別, Session過期是服務(wù)器過期, 而Cookie過期是客戶端(瀏覽器)來保證的, 即使你設(shè)置了Cookie過期, 這個只能保證標(biāo)準(zhǔn)瀏覽器到期的時候, 不會發(fā)送這個Cookie(包含著Session ID), 而如果通過構(gòu)造請求, 還是可以使用這個Session ID的值.
第三種答案
使用memcache, redis等, okey, 這種答案是一種正確答案. 不過, 很顯然出題者肯定還會接著問你, 如果只是使用PHP呢?
第四種答案
當(dāng)然, 面試不是為了難道你, 而是為了考察思考的周密性. 在這個過程中我會提示出這些陷阱, 所以一般來說, 符合題意的做法是:
設(shè)置Cookie過期時間30分鐘, 并設(shè)置Session的lifetime也為30分鐘.
自己為每一個Session值增加Time stamp.
每次訪問之前, 判斷時間戳.
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/22758.html
