PHP会话控制：cookie和session区别与用法深入理解

齐天大圣

发布时间：2020-05-06 07:46:00

2610人浏览过

来源于php中文网

原创

说到会话控制，大部人会想，那还不简单吗？不就是cookie和session吗？的确就是cookie和session，但是你真的会用吗？

几年前面试的时候我碰到了一个这样的问题：

如何保证session在1小时后失效？

当时我想这个还不简单，将gc_maxlifetime设置为3600不就行了。当时面试的人说，回答的不对，这样不能保证1小时后肯定失效。当然他也没和我说原因。后来我回去后，仔细查找了一番，才搞清楚。

回答这个问题前，先普及下cookie和session的知识。

COOKIE与SESSION的区别与联系

存储位置的不同：

立即学习“PHP免费学习笔记（深入）”；

cookie存储在客户端
session存放在服务端

他们之间的联系：

当服务端开启session后，即

session_start();

后，会生成一个唯一ID（session_id)，并通过响应头告诉客户端。客户端拿到后，会将它保存在cookie中。当客户端再次发起请求时，会带上这个信息。服务端收到这个信息后，就会去存放session文件的目录去查找对应文件，找到后会去提取session信息。就是通过这样的机制，服务端识别了客户端的身份。

所以说，如果没有cookie，session就没有任何意义。

介绍完cookie与session的关系后，我们再来说说session的有效期。

SESSION的垃圾回收

10分钟内自己学会PHP

10分钟内自己学会PHP其中，第1篇为入门篇，主要包括了解PHP、PHP开发环境搭建、PHP开发基础、PHP流程控制语句、函数、字符串操作、正则表达式、PHP数组、PHP与Web页面交互、日期和时间等内容；第2篇为提高篇，主要包括MySQL数据库设计、PHP操作MySQL数据库、Cookie和Session、图形图像处理技术、文件和目录处理技术、面向对象、PDO数据库抽象层、程序调试与错误处理、A

下载

一般php默认的session有效期为24分钟。客户端在超过这个时间后一直没有发出请求，就会有可能触发垃圾回收机制，删除过期的session文件。为什么说有可能？这就要说说垃圾机制的原理了。

php的session垃圾回收是有概率的，是由session.gc_probability和session.gc_diviso确定概率的。概率为

session.gc_probability/session.gc_diviso

php默认gc_probability是1，而gc_diviso默认为100，也就是说每次请求触发垃圾回收的概率为1/100。一般的，当我们网站访问量大的时候，可以将这个概率提高，比如1/1000，以减少io操作。

另外还有一点要说明：比如客户端A，此时新建了一个session（session的有效期为10分钟），过了8分钟后，A又发送了请求。这个时候他的session是2分钟后到期，还是10分钟后到期？

答案是10分钟后。因为第二次请求后，服务端的session文件的修改时间也改变了。垃圾回收是看session文件最后的修改时间。但是大家再想想，对应的cookie有效期是不是也会更新？很可惜，cookie有效期不会更新。

如何保证1小时一定过期

现在，我们来看最初的问题，如何保证session文件一个小时后一定过期。session的垃圾回收是概率事件，所有不能指望他了。

那通过设置cookie的有效期了，通过设置cookie_lifetime可以做到么？

答案还是不行。cookie是在客户端的，他没有了，只是在下次请求的时候不能带上这个cookie了，但对应的session文件还是存在的。

其实这个问题最简单的做法，是将session保存在redis中，通过redis的键的过期时间来保证1个小时候，一定过期。该方法也是推荐的方法

但只能用php的话，要怎样来完成呢？

可以为每一个session都设置一个时间戳，每次访问前都判断时间戳。贴上代码：

<?php
session_start([
    'cookie_lifetime' => 3600,
    'gc_maxlifetime' => 3600
]);

if (isset($_SESSION['lifetime']) && $_SESSION['lifetime'] > time()) {
    // 未过期，更新session的lifetime及cookie的有效期
    $_SESSION['lifetime'] += 3600;
    $tmpVal = $_COOKIE[session_name()];
    setcookie(session_name(), $tmpVal, time() + 3600, '/');
} else {
    // 过期删除
    $_SESSION = [];
    if (isset($_COOKIE[session_name()])) {
        setcookie(session_name(), '', time() - 100, '/');
    }
    session_destroy();
}

通过阅读了该内容，相信大家对php的会话应该有了更深的理解。

PHP怎样在不同请求间保持变量_PHP不同请求间保持变量技术【技术】

PHP怎样处理Cookie跨域_处理Cookie跨域问题的方案【方案】

php怎么操作Cookie_php设置读取删除Cookie方法【基础】

爬虫如何抓取视频_PHP提取短视频链接方法【教程】

PHP中多语言怎么实现_PHP网站国际化设置方法【指南】

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

Cookie 是一种在用户计算机上存储小型文本文件的技术，用于在用户与网站进行交互时收集和存储有关用户的信息。当用户访问一个网站时，网站会将一个包含特定信息的 Cookie 文件发送到用户的浏览器，浏览器会将该 Cookie 存储在用户的计算机上。之后，当用户再次访问该网站时，浏览器会向服务器发送 Cookie，服务器可以根据 Cookie 中的信息来识别用户、跟踪用户行为等。

6496

2023.06.30

document.cookie获取不到怎么解决

document.cookie获取不到的解决办法：1、浏览器的隐私设置；2、Same-origin policy；3、HTTPOnly Cookie；4、JavaScript代码错误；5、Cookie不存在或过期等等。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

366

2023.11.23

阻止所有cookie什么意思

阻止所有cookie意味着在浏览器中禁止接受和存储网站发送的cookie。阻止所有cookie可能会影响许多网站的使用体验，因为许多网站使用cookie来提供个性化服务、存储用户信息或跟踪用户行为。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

441

2024.02.23

cookie与session的区别

本专题整合了cookie与session的区别和使用方法等相关内容，阅读专题下面的文章了解更详细的内容。

2025.08.19

session失效的原因

session失效的原因有会话超时、会话数量限制、会话完整性检查、服务器重启、浏览器或设备问题等等。详细介绍：1、会话超时：服务器为Session设置了一个默认的超时时间，当用户在一段时间内没有与服务器交互时，Session将自动失效；2、会话数量限制：服务器为每个用户的Session数量设置了一个限制，当用户创建的Session数量超过这个限制时，最新的会覆盖最早的等等。

334

2023.10.17

session失效解决方法

session失效通常是由于 session 的生存时间过期或者服务器关闭导致的。其解决办法：1、延长session的生存时间；2、使用持久化存储；3、使用cookie；4、异步更新session；5、使用会话管理中间件。

774

2023.10.18

cookie与session的区别

本专题整合了cookie与session的区别和使用方法等相关内容，阅读专题下面的文章了解更详细的内容。

2025.08.19

常用的数据库软件

常用的数据库软件有MySQL、Oracle、SQL Server、PostgreSQL、MongoDB、Redis、Cassandra、Hadoop、Spark和Amazon DynamoDB。更多关于数据库软件的内容详情请看本专题下面的文章。php中文网欢迎大家前来学习。

1003

2023.11.02

Rust内存安全机制与所有权模型深度实践

本专题围绕 Rust 语言核心特性展开，深入讲解所有权机制、借用规则、生命周期管理以及智能指针等关键概念。通过系统级开发案例，分析内存安全保障原理与零成本抽象优势，并结合并发场景讲解 Send 与 Sync 特性实现机制。帮助开发者真正理解 Rust 的设计哲学，掌握在高性能与安全性并重场景中的工程实践能力。

2026.03.05

热门下载

网站特效

网站源码

网站素材

前端模板