编辑“︁PHP会话配置”︁（章节）

= PHP会话配置 =

'''PHP会话配置'''是管理用户会话状态的核心机制，允许服务器在多个页面请求间跟踪用户数据。通过会话ID（通常存储在Cookie或URL中），PHP能够关联特定用户的请求并维持其数据。本文将详细介绍PHP会话的工作原理、配置选项及实际应用。

== 会话基础 ==
PHP会话通过<code>session_start()</code>函数初始化，创建一个唯一的会话ID并存储用户数据在服务器端（默认以文件形式）。会话数据在脚本执行期间可通过超全局变量<code>$_SESSION</code>访问。

=== 基本流程 ===
<mermaid>
sequenceDiagram
    participant 用户
    participant 服务器
    用户->>服务器: 访问页面（首次请求）
    服务器->>用户: 生成会话ID并发送Set-Cookie头
    用户->>服务器: 后续请求携带会话ID
    服务器->>用户: 读取$_SESSION数据并响应
</mermaid>

== 配置参数 ==
PHP会话行为由<code>php.ini</code>中的配置项控制，常见参数如下：

{| class="wikitable"
|+ 关键会话配置项
! 参数 !! 默认值 !! 描述
|-
| <code>session.save_handler</code> || files || 存储方式（files/redis/memcached等）
|-
| <code>session.save_path</code> || /tmp || 存储路径（文件模式时有效）
|-
| <code>session.name</code> || PHPSESSID || 会话Cookie名称
|-
| <code>session.cookie_lifetime</code> || 0 || 会话Cookie有效期（秒）
|-
| <code>session.gc_maxlifetime</code> || 1440 || 会话数据过期时间（秒）
|}

=== 运行时修改配置 ===
通过<code>ini_set()</code>可在脚本中动态调整配置：

<syntaxhighlight lang="php">
<?php
// 设置会话Cookie有效期为1天
ini_set('session.cookie_lifetime', 86400);
// 使用Redis存储会话数据
ini_set('session.save_handler', 'redis');
ini_set('session.save_path', 'tcp://127.0.0.1:6379');
session_start();
?>
</syntaxhighlight>

== 安全配置建议 ==
* '''会话固定防护'''：每次登录后重置会话ID
  <syntaxhighlight lang="php">
  session_regenerate_id(true);
  </syntaxhighlight>

* '''严格模式'''：防止未初始化会话被访问
  <syntaxhighlight lang="php">
  ini_set('session.use_strict_mode', 1);
  </syntaxhighlight>

* '''Cookie安全标记'''：
  <syntaxhighlight lang="php">
  ini_set('session.cookie_secure', 1);   // 仅HTTPS传输
  ini_set('session.cookie_httponly', 1); // 禁止JavaScript访问
  ini_set('session.cookie_samesite', 'Strict'); // CSRF防护
  </syntaxhighlight>

== 实际案例 ==
=== 购物车系统 ===
以下示例展示如何用会话存储用户购物车数据：

<syntaxhighlight lang="php">
<?php
session_start();

// 添加商品到购物车
if (isset($_POST['add_to_cart'])) {
    $productId = $_POST['product_id'];
    if (!isset($_SESSION['cart'])) {
        $_SESSION['cart'] = [];
    }
    $_SESSION['cart'][$productId] = ($_SESSION['cart'][$productId] ?? 0) + 1;
}

// 显示购物车内容
if (!empty($_SESSION['cart'])) {
    foreach ($_SESSION['cart'] as $id => $qty) {
        echo "产品ID: $id, 数量: $qty<br>";
    }
} else {
    echo "购物车为空";
}
?>
</syntaxhighlight>

'''输出示例'''：
<pre>
产品ID: 1001, 数量: 2
产品ID: 1003, 数量: 1
</pre>

== 高级主题 ==
=== 自定义会话处理器 ===
通过实现<code>SessionHandlerInterface</code>可创建自定义存储：

<syntaxhighlight lang="php">
<?php
class DatabaseSessionHandler implements SessionHandlerInterface {
    private $pdo;
    
    public function open($savePath, $sessionName): bool {
        $this->pdo = new PDO("mysql:host=localhost;dbname=test", "user", "pass");
        return true;
    }
    
    public function read($id): string {
        $stmt = $this->pdo->prepare("SELECT data FROM sessions WHERE id = ?");
        $stmt->execute([$id]);
        return $stmt->fetchColumn() ?: '';
    }
    
    // 其他必须实现的方法...
}

$handler = new DatabaseSessionHandler();
session_set_save_handler($handler, true);
session_start();
?>
</syntaxhighlight>

=== 会话性能优化 ===
对于高流量站点：
* 使用内存存储（如Redis）
* 缩短<code>session.gc_probability</code>减少GC开销
* 禁用<code>session.auto_start</code>按需启动会话

== 数学原理 ==
会话ID的熵值计算（安全性衡量）：
<math>
E = \log_2(N^L)
</math>
其中：
* <math>N</math> = 字符集大小
* <math>L</math> = ID长度

默认配置（32字符十六进制ID）：
<math>
E = \log_2(16^{32}) = 128 \text{位}
</math>

== 常见问题 ==
'''Q: 会话数据在不同子域名间如何共享？'''
A: 设置<code>session.cookie_domain</code>为主域名：
<syntaxhighlight lang="php">
ini_set('session.cookie_domain', '.example.com');
</syntaxhighlight>

'''Q: 如何防止会话劫持？'''
A: 组合以下措施：
1. 启用<code>session.cookie_secure</code>和<code>session.cookie_httponly</code>
2. 使用<code>session_regenerate_id()</code>在权限变更时
3. 绑定会话到用户IP（需权衡用户体验）

[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP会话与cookie]]