PHPSession这么玩：手把手教你存数据，附超实用5大技巧

PHP Session是Web开发中常用的状态保持技术，本文是一份全面的PHP Session操作指南，**手把手教你如何在PHP中保存Session值，并附带五大实用技巧**。文章深入探讨了Session的生命周期，明确Session过期后数据会因服务器垃圾回收而丢失的特性，并提供了**防止Session劫持**的有效策略，如使用HTTPS、设置Cookie属性、定期更换Session ID等。此外，还详细阐述了**跨域共享Session**的多种方法，包括设置Cookie域、JSONP、CORS、PostMessage和SSO。文章还揭示了Session数据的存储位置，既可以存储在服务器文件中，也可以存储在数据库或Redis等缓存系统中，并提供了**安全销毁Session**的完整步骤，确保彻底清除Session数据，为开发者提供了一份实用的Session操作参考。

Session过期后数据会丢失，因为默认存储在服务器上并由垃圾回收机制清理；防止Session劫持需使用HTTPS、设置Cookie属性、定期更换Session ID、验证用户信息、缩短过期时间及使用Token；跨域共享Session可通过设置Cookie域、JSONP、CORS、PostMessage或SSO实现；Session数据默认存于服务器文件中，也可存入数据库或缓存系统如Redis；销毁Session需依次执行session_unset()、删除Cookie及session_destroy()以确保彻底清除。

PHP保存Session值，简单来说，就是利用$_SESSION这个全局变量，把你想存的数据放进去。但Session的背后，其实涉及到服务器和客户端之间如何维持状态，以及一些安全和性能上的考量。

PHP Session操作，可以理解为一系列对$_SESSION数组的操作，以及一些配置选项的调整。

Session过期后，存储的数据会丢失吗？

是的，Session过期后，存储的数据会丢失。Session的数据默认是存储在服务器上的，当Session过期或者被销毁时，服务器会清除这些数据。客户端只是保存一个Session ID，用来告诉服务器“我是谁”。

具体来说，Session的过期时间由session.gc_maxlifetime配置项决定，单位是秒。当Session长时间没有活动时，服务器的垃圾回收机制（garbage collection）可能会清理掉这些Session数据。

还有一种情况是，如果用户手动关闭了浏览器，或者清除了浏览器的Cookie，那么Session ID也会丢失，导致服务器无法找到对应的Session数据，相当于Session失效了。

所以，如果需要长期保存数据，不要依赖Session。可以考虑使用数据库、文件或者Cookie等方式来存储。

如何防止Session劫持？

Session劫持是指攻击者通过某种方式获取了用户的Session ID，然后冒充用户进行非法操作。防止Session劫持，可以从以下几个方面入手：

1. 使用HTTPS： HTTPS可以加密客户端和服务器之间的通信，防止Session ID在传输过程中被窃取。这是最基本也是最重要的一点。

2. 设置session.cookie_httponly = true： 这个配置项可以防止客户端脚本（如JavaScript）访问Session Cookie，从而降低XSS攻击的风险。

3. 设置session.cookie_secure = true： 这个配置项可以确保Session Cookie只在HTTPS连接下传输。

4. 定期更换Session ID： 可以使用session_regenerate_id()函数来定期更换Session ID，即使攻击者获取了之前的Session ID，也会失效。注意，更换Session ID后，原来的Session数据仍然有效。

5. 验证用户代理（User Agent）和IP地址： 可以在Session中存储用户的User Agent和IP地址，并在每次请求时进行验证。如果User Agent或IP地址发生变化，可以认为Session可能被劫持，并销毁Session。但是，这种方法可能会导致误判，因为用户的IP地址可能会因为网络环境的变化而改变。

6. 设置合理的Session过期时间： 缩短Session的过期时间，可以降低Session被劫持的风险。

7. 使用Session Token： 每次生成页面时，生成一个随机的Token，并将这个Token存储在Session中。同时，将这个Token嵌入到页面中的表单或者链接中。在处理表单提交或者链接点击时，验证Token是否匹配。这样可以防止CSRF攻击，也能在一定程度上防止Session劫持。

如何跨域共享Session？

跨域共享Session是一个比较复杂的问题，涉及到浏览器的同源策略。简单来说，如果两个网站的域名、协议或者端口号不同，就被认为是跨域的。默认情况下，浏览器不允许跨域访问Cookie，因此Session也无法跨域共享。

以下是一些常用的跨域共享Session的方法：

1. 设置session.cookie_domain： 可以将session.cookie_domain设置为顶级域名，例如.example.com。这样，所有子域名下的网站都可以访问这个Session Cookie。但是，这种方法只适用于父子域名之间。

2. 使用JSONP： JSONP是一种利用