编辑“︁PHP会话存储”︁

= PHP会话存储 =

'''PHP会话存储'''是Web开发中用于跨页面保持用户状态的核心机制。它通过服务器端存储临时数据（如用户登录状态、购物车内容），与客户端的Cookie或URL参数配合工作。本文详细讲解其工作原理、配置方法和实际应用。

== 基本概念 ==

会话（Session）指用户与网站交互的完整周期。PHP会话存储的核心特点：

* '''服务器端存储'''：数据保存在Web服务器（默认以文件形式）
* '''会话ID'''：唯一标识符（通常通过Cookie传递）
* '''生命周期'''：默认随浏览器关闭结束（可配置）

与Cookie的对比：
{| class="wikitable"
! 对比项 !! 会话(Session) !! Cookie
|-
| 存储位置 || 服务器端 || 客户端
|-
| 安全性 || 较高 || 需手动加密
|-
| 容量限制 || 无（受服务器限制） || 通常4KB
|-
| 数据类型 || 支持复杂结构 || 仅字符串
|}

== 工作原理 ==

<mermaid>
sequenceDiagram
    participant Client
    participant Server
    Client->>Server: 首次请求（无Session ID）
    Server->>Client: 生成Session ID（Set-Cookie头）
    Client->>Server: 后续请求（携带Session ID）
    Server->>Server: 读取对应存储文件
    Server->>Client: 返回个性化内容
</mermaid>

数学表示会话ID的生成过程：
<math>
ID = hash(IP_{partial} + timestamp + rand(1,9999))
</math>

== 基础用法 ==

=== 启动会话 ===
<syntaxhighlight lang="php">
<?php
// 必须在使用session前调用session_start()
session_start();

// 设置会话变量
$_SESSION['username'] = 'php_learner';
$_SESSION['last_visit'] = time();
?></syntaxhighlight>

=== 读取数据 ===
<syntaxhighlight lang="php">
<?php
session_start();
if (isset($_SESSION['username'])) {
    echo "欢迎回来, " . htmlspecialchars($_SESSION['username']);
} else {
    echo "请先登录";
}
?></syntaxhighlight>

=== 销毁会话 ===
<syntaxhighlight lang="php">
<?php
session_start();
// 清除单个变量
unset($_SESSION['username']);

// 彻底销毁会话
session_destroy();
?></syntaxhighlight>

== 高级配置 ==

通过php.ini或运行时函数配置：

{| class="wikitable"
! 参数 !! 默认值 !! 说明
|-
| session.save_handler || files || 存储方式（files/redis/memcached）
|-
| session.save_path || /tmp || 存储路径
|-
| session.gc_maxlifetime || 1440 || 垃圾回收最大生命周期（秒）
|-
| session.cookie_lifetime || 0 || Cookie有效期（0=浏览器关闭）
|}

自定义存储示例（Redis）：
<syntaxhighlight lang="php">
ini_set('session.save_handler', 'redis');
ini_set('session.save_path', 'tcp://127.0.0.1:6379');
session_start();
</syntaxhighlight>

== 安全实践 ==

1. '''会话固定防护'''：
<syntaxhighlight lang="php">
session_start();
if (empty($_SESSION['generated']) || $_SESSION['generated'] < (time() - 300)) {
    session_regenerate_id(true);
    $_SESSION['generated'] = time();
}
</syntaxhighlight>

2. '''跨站防护'''：
<syntaxhighlight lang="php">
ini_set('session.cookie_httponly', 1);
ini_set('session.cookie_secure', 1); // 仅HTTPS
ini_set('session.use_strict_mode', 1);
</syntaxhighlight>

== 实际案例 ==

'''电商购物车实现'''：

<syntaxhighlight lang="php">
<?php
session_start();

class ShoppingCart {
    public function addItem($productId, $quantity) {
        if (!isset($_SESSION['cart'])) {
            $_SESSION['cart'] = [];
        }
        $_SESSION['cart'][$productId] = ($_SESSION['cart'][$productId] ?? 0) + $quantity;
    }
    
    public function getTotal() {
        return array_sum($_SESSION['cart'] ?? []);
    }
}

// 使用示例
$cart = new ShoppingCart();
$cart->addItem('P1001', 2);
echo "当前商品总数: " . $cart->getTotal();
?></syntaxhighlight>

输出：
<pre>
当前商品总数: 2
</pre>

== 性能优化 ==

对于高流量站点建议：

* '''分布式存储'''：使用Redis/Memcached
* '''惰性写入'''：配置<code>session.lazy_write = On</code>
* '''适当GC概率'''：调整<code>session.gc_probability</code>

存储方案性能对比：
<mermaid>
barChart
    title 请求处理速度对比（ms）
    x-axis 方案
    y-axis 时间
    bar 文件存储: 45
    bar Redis: 12
    bar Memcached: 15
</mermaid>

== 常见问题 ==

'''Q：会话数据在哪可见？'''<br/>
A：默认存储在<code>session.save_path</code>指定目录，文件名为<code>sess_[ID]</code>

'''Q：如何扩展会话过期时间？'''<br/>
A：组合设置：
<syntaxhighlight lang="php">
ini_set('session.gc_maxlifetime', 3600); // 服务端
session_set_cookie_params(3600); // 客户端
</syntaxhighlight>

== 最佳实践总结 ==

1. 始终先调用<code>session_start()</code>
2. 对用户输入做过滤后再存入<code>$_SESSION</code>
3. 敏感操作后重新生成会话ID
4. 高并发环境使用专业会话存储
5. 定期清理过期会话数据

通过合理使用PHP会话存储，可以构建安全、高效的带状态Web应用。

[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP会话与cookie]]