php中session机制探究(2)

如果cookie失效了浏览器自然发送不了cookie到服务器，这时即使服务器的session文件存在也没用，因为PHP不知道要读取哪个session文件。我们知道PHP的cookie过期时间是在创建时设置的，那么PHP在创建session的同时为客户端创建的cookie的生命周期是多久呢？这个在php.ini中有设置：session.cookie_lifetime 。这个值默认是0，代表浏览器一关闭SESSIONID就失效。那就是说我们把session.gc_maxlifetime和session.cookie_lifetime设置成同一个值就可以控制session的失效时间了。

3、php中session的客户端存储机制

由上面的介绍我们可以知道，如果用户关闭了cookie，那我们的session就完全没法工作了。是的，确实是这样。php中session的客户端存储机制只有cookie吗？不是的。既然我们的SESSIONID 不能通过cookie传递到各个页面，那我们还有另一个法宝，就是通过页面GET传值的方式。

PHP可以在cookie被禁用时自动通过GET方式跨页传递SESSIONID，前提是设置php.ini的session.use_trans_sid为1。这时当我们在客户端禁用了cookie时使用了session，并在当前页面通过点击链接到另一页面时，PHP会自动在链接上添加SESSIONID参数，像这样：nextpage.php?SESSIONID=2bd170b3f86523f1b1b60b55ffde0f66。我想你应该看到了这种方式的缺点：好像不够安全啊。

：转载自：蓝色夏威夷