运行时配置

这些函数的行为受 php.ini 中的设置影响。

会话管理系统支持许多配置选项，您可以将这些选项放在 php.ini 文件中。我们将简要概述。

session.save_handler string

session.save_handler 定义用于存储和检索与会话关联的数据的处理程序的名称。默认为 files。请注意，各个扩展可能会注册它们自己的 save_handler；注册的处理程序可以在每个安装的基础上获得，方法是参考 phpinfo()。另请参阅 session_set_save_handler()。

session.save_path string

session.save_path 定义传递给保存处理程序的参数。如果您选择默认的文件处理程序，那么这就是创建文件的路径。另请参阅 session_save_path()。

此指令有一个可选的 N 参数，它确定会话文件将被散布在其中的目录级别数。例如，设置为 '5;/tmp' 最终可能会创建一个会话文件和位置，如 /tmp/4/b/1/e/3/sess_4b1e384ad74619bd212e236e52a5a174If 。为了使用 N，您必须在使用之前创建所有这些目录。一个小的 shell 脚本位于 ext/session 中，用于执行此操作，它被称为 mod_files.sh，它的 Windows 版本称为 mod_files.bat。还要注意，如果使用 N 且大于 0，则不会执行自动垃圾回收，请参阅 php.ini 的副本以获取更多信息。此外，如果您使用 N，请确保将 session.save_path 括在“引号”中，因为分隔符 (;) 也用于 php.ini 中的注释。

文件存储模块默认使用模式 600 创建文件。可以使用可选的 MODE 参数更改此默认值：N;MODE;/path，其中 MODE 是模式的八进制表示形式。设置 MODE 不会影响进程 umask。

警告

如果将其设置为一个世界可读目录，例如 /tmp（默认值），则服务器上的其他用户可能会通过获取该目录中文件的列表来劫持会话。

注意

当使用可选的目录级别参数 N 时，如上所述，请注意，由于需要大量的目录，使用大于 1 或 2 的值不适合大多数网站：例如，值为 3 意味着 (2 ** session.sid_bits_per_character) ** 3 目录存在于文件系统中，这会导致浪费大量空间和 inode。

仅当您绝对确定您的网站足够大以至于需要它时，才使用大于 2 的 N。

session.name string

session.name 指定会话的名称，该名称用作 Cookie 名称。它应该只包含字母数字字符。默认为 PHPSESSID。另请参阅 session_name()。

session.auto_start bool

session.auto_start 指定会话模块是否在请求启动时自动启动会话。默认为 0（禁用）。

session.serialize_handler string

session.serialize_handler 定义用于序列化/反序列化数据的处理程序的名称。支持 PHP 序列化格式（名称 php_serialize）、PHP 内部格式（名称 php 和 php_binary）和 WDDX（名称 wddx）。WDDX 仅在使用 WDDX 支持 编译 PHP 时可用。 php_serialize 在内部使用纯序列化/反序列化函数，并且没有 php 和 php_binary 拥有的限制。旧的序列化处理程序无法在 $_SESSION 中存储数字索引，也不能存储包含特殊字符 (| 和 !) 的字符串索引。使用 php_serialize 避免脚本关闭时出现数字索引或特殊字符错误。默认为 php。

session.gc_probability int

session.gc_probability 与 session.gc_divisor 结合使用，用于管理启动 gc（垃圾回收）例程的概率。默认为 1。有关详细信息，请参阅 session.gc_divisor。

session.gc_divisor int

session.gc_divisor 与 session.gc_probability 结合定义每次会话初始化时启动 gc（垃圾回收）过程的概率。概率是通过使用 gc_probability/gc_divisor 计算的，例如 1/100 表示每次请求启动 GC 过程的概率为 1%。session.gc_divisor 默认为 100。

session.gc_maxlifetime int

session.gc_maxlifetime 指定数据将被视为“垃圾”并可能被清理的秒数。垃圾回收可能会在会话启动期间发生（取决于 session.gc_probability 和 session.gc_divisor）。默认为 1440（24 分钟）。

注意: 如果不同的脚本具有不同的 session.gc_maxlifetime 值，但共享相同的位置来存储会话数据，那么具有最小值的脚本将清理数据。在这种情况下，将此指令与 session.save_path 结合使用。

session.referer_check string

session.referer_check 包含您要检查每个 HTTP Referer 的子字符串。如果 Referer 由客户端发送，并且未找到子字符串，则嵌入的会话 ID 将被标记为无效。默认为空字符串。

session.entropy_file string

session.entropy_file 给出了一个外部资源（文件）的路径，该资源将在会话 ID 创建过程中用作额外的熵源。示例是 /dev/random 或 /dev/urandom，它们在许多 Unix 系统上可用。 此功能在 Windows 上受支持。将 session.entropy_length 设置为非零值将使 PHP 使用 Windows 随机 API 作为熵源。

注意: 在 PHP 7.1.0 中移除。 session.entropy_file 默认为 /dev/urandom 或 /dev/arandom（如果可用）。

session.entropy_length int

session.entropy_length 指定从上述文件中读取的字节数。默认为 32。 在 PHP 7.1.0 中移除。

session.use_strict_mode bool

session.use_strict_mode 指定模块是否使用严格的会话 ID 模式。如果启用此模式，模块将不接受未初始化的会话 ID。如果浏览器发送了未初始化的会话 ID，则会向浏览器发送新的会话 ID。通过严格模式，应用程序可以免受会话劫持攻击。默认值为 0（禁用）。

注意: 启用 session.use_strict_mode 是确保一般会话安全所必需的。建议所有网站都启用此选项。有关更多详细信息，请参见 session_create_id() 示例代码。

警告

如果通过 session_set_save_handler() 注册的自定义会话处理程序未实现 SessionUpdateTimestampHandlerInterface::validateId() 或未提供 validate_sid 回调函数，则无论此指令的值如何，严格的会话 ID 模式实际上都已禁用。特别是请注意，SessionHandler 未实现 SessionHandler::validateId()。

session.use_cookies bool

session.use_cookies 指定模块是否使用 cookie 在客户端存储会话 ID。默认值为 1（启用）。

session.use_only_cookies bool

session.use_only_cookies 指定模块是否 **仅** 使用 cookie 在客户端存储会话 ID。启用此设置可以防止通过 URL 传递会话 ID 的攻击。默认值为 1（启用）。

session.cookie_lifetime int

session.cookie_lifetime 指定发送到浏览器的 cookie 的生存期（以秒为单位）。值 0 表示“直到浏览器关闭”。默认值为 0。另请参见 session_get_cookie_params() 和 session_set_cookie_params()。

注意: 过期时间戳相对于服务器时间设置，服务器时间不一定与客户端浏览器的当前时间相同。

session.cookie_path string

session.cookie_path 指定在会话 cookie 中设置的路径。默认值为 /。另请参见 session_get_cookie_params() 和 session_set_cookie_params()。

session.cookie_domain string

session.cookie_domain 指定在会话 cookie 中设置的域。默认情况下，此值为空，表示根据 cookie 规范，将使用生成 cookie 的服务器的主机名。另请参见 session_get_cookie_params() 和 session_set_cookie_params()。

session.cookie_secure bool

session.cookie_secure 指定 cookie 是否应仅通过安全连接发送。如果将此选项设置为 on，则会话仅在 HTTPS 连接中有效。如果设置为 off，则会话在 HTTP 和 HTTPS 连接中都有效。默认值为 off。另请参见 session_get_cookie_params() 和 session_set_cookie_params()。

session.cookie_httponly bool

将 cookie 标记为仅通过 HTTP 协议访问。这意味着 cookie 无法通过脚本语言（例如 JavaScript）访问。此设置可以有效地帮助减少通过 XSS 攻击造成的身份盗窃（尽管并非所有浏览器都支持此设置）。

session.cookie_samesite string

允许服务器断言 cookie 不应与跨站点请求一起发送。此断言允许用户代理减轻跨源信息泄露的风险，并提供一定程度的针对跨站点请求伪造攻击的保护。请注意，并非所有浏览器都支持此功能。空值表示不会设置任何 SameSite cookie 属性。 Lax 和 Strict 表示 cookie 不会在 POST 请求中跨域发送；Lax 会在跨域 GET 请求中发送 cookie，而 Strict 则不会。

session.cache_limiter string

session.cache_limiter 指定用于会话页面的缓存控制方法。它可以是以下值之一：nocache、private、private_no_expire 或 public。默认值为 nocache。有关这些值的含义的信息，请参见 session_cache_limiter() 文档。

session.cache_expire int

session.cache_expire 指定缓存会话页面的生存时间（以分钟为单位），这对 nocache 限制器无效。默认值为 180。另请参见 session_cache_expire()。

session.use_trans_sid bool

session.use_trans_sid 指定是否启用透明 SID 支持。默认值为 0（禁用）。

注意: 与基于 cookie 的会话管理相比，基于 URL 的会话管理存在额外的安全风险。例如，用户可以通过电子邮件将其朋友发送包含活动会话 ID 的 URL，或者用户可以将其保存到书签中，并始终使用相同的会话 ID 访问您的网站。 自 PHP 7.1.0 起，trans sid 功能处理完整的 URL 路径，例如 https://php.net/。以前的 PHP 版本仅处理相对 URL 路径。重写目标主机由 session.trans_sid_hosts 定义。

session.trans_sid_tags string

session.trans_sid_tags 指定在启用透明 SID 支持时哪些 HTML 标签将被重写以包含会话 ID。默认值为 a=href,area=href,frame=src,input=src,form= form 是特殊的标签。 <input hidden="session_id" name="session_name"> 将作为表单变量添加。

注意: 在 PHP 7.1.0 之前，url_rewriter.tags 用于此目的。自 PHP 7.1.0 起，fieldset 不再被视为特殊标签。

session.trans_sid_hosts string

session.trans_sid_hosts 指定在启用透明 SID 支持时哪些主机将被重写以包含会话 ID。默认值为 $_SERVER['HTTP_HOST']。可以使用“,” 指定多个主机，主机之间不允许使用空格。例如，php.net,wiki.php.net,bugs.php.net

session.sid_length int

session.sid_length 允许您指定会话 ID 字符串的长度。会话 ID 长度可以在 22 到 256 之间。 默认值为 32。如果您需要兼容性，可以指定 32、40 等。更长的会话 ID 更难猜测。建议至少使用 32 个字符。

提示

兼容性说明：使用 32 代替 session.hash_function=0 (MD5) 和 session.hash_bits_per_character=4，session.hash_function=1 (SHA1) 和 session.hash_bits_per_character=6。使用 26 代替 session.hash_function=0 (MD5) 和 session.hash_bits_per_character=5。使用 22 代替 session.hash_function=0 (MD5) 和 session.hash_bits_per_character=6。您必须配置 INI 值以确保会话 ID 中至少有 128 位。不要忘记为 session.sid_bits_per_character 设置适当的值，否则您的会话 ID 将变得更弱。

注意: 此设置是在 PHP 7.1.0 中引入的。

session.sid_bits_per_character int

session.sid_bits_per_character 允许您指定编码会话 ID 字符中的位数。可能的值是“4”（0-9、a-f）、“5”（0-9、a-v）和“6”（0-9、a-z、A-Z、“-”、“，”）。 默认值为 4。更多的位数会导致更强的会话 ID。5 是大多数环境的推荐值。

注意: 此设置是在 PHP 7.1.0 中引入的。

session.hash_function mixed

session.hash_function 允许您指定用于生成会话 ID 的哈希算法。“0”表示 MD5（128 位），“1”表示 SHA-1（160 位）。

您也可以指定 哈希扩展（如果可用）提供的任何算法，例如 sha512 或 whirlpool。可以使用 hash_algos() 函数获取支持算法的完整列表。

注意: 已在 PHP 7.1.0 中移除。

session.hash_bits_per_character int

session.hash_bits_per_character 允许您定义将二进制哈希数据转换为可读数据时每个字符中存储的位数。可能的值是“4”（0-9、a-f）、“5”（0-9、a-v）和“6”（0-9、a-z、A-Z、“-”、“，”）。

注意: 已在 PHP 7.1.0 中移除。

session.upload_progress.enabled bool

启用上传进度跟踪，填充 $_SESSION 变量。默认值为 1，启用。

session.upload_progress.cleanup bool

一旦所有 POST 数据都被读取（即上传完成），就清理进度信息。默认值为 1，启用。

注意: 强烈建议保持此功能启用。

session.upload_progress.prefix string

在 $_SESSION 中，用于上传进度键的前缀。此键将与 $_POST[ini_get("session.upload_progress.name")] 的值连接，以提供唯一的索引。 默认值为 "upload_progress_"。

session.upload_progress.name string

用于存储进度信息的 $_SESSION 中的键名。另请参见 session.upload_progress.prefix。 如果未传递或不可用 $_POST[ini_get("session.upload_progress.name")]，则不会记录上传进度。 默认值为 "PHP_SESSION_UPLOAD_PROGRESS"。

session.upload_progress.freq mixed

定义应多久更新一次上传进度信息。这可以以字节为单位定义（例如，“每 100 字节更新一次进度信息”），也可以以百分比定义（例如，“接收整个文件大小的 1% 后更新一次进度信息”）。 默认值为 "1%"。

session.upload_progress.min_freq int

更新之间的最小延迟（以秒为单位）。默认值为“1”（一秒）。

session.lazy_write bool

session.lazy_write 设置为 1 时，表示只有在会话数据更改时才会重新写入会话数据。默认值为 1，已启用。

除非 session.upload_progress.enabled 已启用并且 $_POST[ini_get("session.upload_progress.name")] 变量已设置，否则不会注册上传进度。有关此功能的更多详细信息，请参见 会话上传进度。