session_set_cookie_params() 必须在 session_start() 前调用,其 $lifetime 参数决定浏览器端 Cookie 有效期,单位为秒;设为 0 表示关闭浏览器即失效,配合 ini_set('session.gc_maxlifetime', 3600) 才能同步服务端清理。
session_set_cookie_params() 必须在 session_start() 前调用
PHP 的 session 过期时间不是靠 session.gc_maxlifetime 单独控制的,真正决定浏览器端 Cookie 有效期的是 session_set_cookie_params() 设置的 $lifetime 参数。这个函数如果写在 session_start() 后面,就完全失效——PHP 不会报错,但 Cookie 的 Expires 字段仍是默认的“会话结束时”,导致关浏览器就丢 session。
- 必须在
session_start()之前调用,且不能有任何输出(包括空格、BOM) -
$lifetime单位是秒,设为0表示浏览器关闭即过期;设为3600表示 1 小时后 Cookie 失效(即使浏览器没关) - 该设置只影响新生成的 session Cookie,对已存在的 session 无效
- 配合
ini_set('session.gc_maxlifetime', 3600)才能确保服务端也清理掉过期数据
session.gc_maxlifetime 和 php.ini 的实际作用范围
session.gc_maxlifetime 控制的是服务端 session 文件(或 Redis 存储中)的“最大存活时间”,但它不是定时清理机制——PHP 只在每次启动 session 时,以概率触发垃圾回收(由 session.gc_probability / session.gc_divisor 决定)。所以即使你把 gc_maxlifetime 设成 3600,旧 session 文件也可能滞留更久。
- CLI 模式下不会触发 GC,
gc_maxlifetime完全不生效 - 使用 Redis 或 Memcached 存储 session 时,GC 机制被绕过,需依赖存储自身的过期策略(如 Redis 的
EXPIRE) - 修改
php.ini后必须重启 PHP-FPM 或 Web 服务器,仅 reload 不生效 - 通过
ini_set()设置只对当前请求有效,不适合全局配置
为什么 setcookie() 改不了 session Cookie 的过期时间
很多人试图用 setcookie('PHPSESSID', ..., time()+3600) 覆盖 session Cookie,这是徒劳的。PHP 在 session_start() 后会自动重写 PHPSESSID Cookie,覆盖你手动设置的内容,且不保留 Expires 字段。
-
session_set_cookie_params()是唯一安全可控的方式 - 如果用了
session_name('MYSESSID'),那setcookie()也得对应改名,否则根本找不到目标 Cookie - HTTPS 环境下,漏掉
$secure = true参数会导致 Cookie 不被发送,表现为“登录后立刻登出” - 跨子域共享 session 时,
$domain参数必须显式指定(如'.example.com'),且不能带协议或端口
判断 session 是否真正过期的可靠方式
不能只靠 isset($_SESSION['user_id']) —— 因为 session 文件可能已被 GC 清理,但 $_SESSION 数组仍存在(只是空的),或者 session ID 还在但服务端数据没了。真正可靠的判断是:检查关键字段 + 验证 session ID 是否仍有效。
立即学习“PHP免费学习笔记(深入)”;
- 用
session_status() === PHP_SESSION_ACTIVE确认 session 已启动且未关闭 - 读取一个带时间戳的 session 字段(如
$_SESSION['last_activity']),并在每次请求时更新它,超时则session_destroy() - 不要依赖
session_id()是否为空来判断,它只反映 ID 是否生成,不反映有效性 - 如果用数据库存 session,建议加
created_at和updated_at字段,避免只靠 GC 机制
最常被忽略的一点:session 过期是客户端 Cookie 过期和服务端数据过期两个独立过程,二者不同步就会出现“Cookie 还在但登录态已丢”或“Cookie 没了但服务端还留着旧数据”。必须同时配好两端,且测试时别只盯着浏览器开发者工具里的 Cookie 列表看——它不显示服务端是否真删了数据。
