运行时配置

这些函数的行为受 php.ini 中的设置影响。

会话管理系统支持许多配置选项，您可以将这些选项放在 php.ini 文件中。我们将简要概述。

session.save_handler 字符串

session.save_handler 定义用于存储和检索与会话关联的数据的处理程序的名称。默认为 files。请注意，各个扩展可以注册自己的 save_handler；注册的处理程序可以通过参考 phpinfo() 在每个安装的基础上获取。另请参阅 session_set_save_handler()。

session.save_path 字符串

session.save_path 定义传递给保存处理程序的参数。如果您选择默认的文件处理程序，则这是创建文件的路径。另请参阅 session_save_path()。

此指令有一个可选的 N 参数，该参数确定您的会话文件将在其中分布的目录级别数。例如，设置为 '5;/tmp' 最终可能会创建一个会话文件和位置，例如 /tmp/4/b/1/e/3/sess_4b1e384ad74619bd212e236e52a5a174If 。为了使用 N，您必须在使用前创建所有这些目录。在 ext/session 中存在一个小的 shell 脚本可以执行此操作，它称为 mod_files.sh，Windows 版本称为 mod_files.bat。另请注意，如果使用 N 并且大于 0，则不会执行自动垃圾回收，请参阅 php.ini 的副本以获取更多信息。此外，如果您使用 N，请确保将 session.save_path 括在“引号”中，因为分隔符 (;) 也用于 php.ini 中的注释。

文件存储模块默认使用模式 600 创建文件。此默认值可以使用可选的 MODE 参数更改：N;MODE;/path，其中 MODE 是模式的八进制表示形式。设置 MODE 不会影响进程 umask。

警告

如果将其设置为世界可读目录，例如 /tmp（默认值），则服务器上的其他用户可以通过获取该目录中文件的列表来劫持会话。

注意

在使用上面描述的可选目录级别参数 N 时，请注意，由于需要大量目录，因此对于大多数站点，使用大于 1 或 2 的值是不合适的：例如，值为 3 意味着 (2 ** session.sid_bits_per_character) ** 3 个目录存在于文件系统上，这可能导致大量浪费的空间和 inode。

仅当您绝对确定您的站点足够大以需要它时，才使用大于 2 的 N。

session.name 字符串

session.name 指定用作 cookie 名称的会话的名称。它只应包含字母数字字符。默认为 PHPSESSID。另请参阅 session_name()。

session.auto_start 布尔值

session.auto_start 指定会话模块是否在请求启动时自动启动会话。默认为 0（禁用）。

session.serialize_handler 字符串

session.serialize_handler 定义用于序列化/反序列化数据的处理程序的名称。PHP 序列化格式（名称 php_serialize）、PHP 内部格式（名称 php 和 php_binary）和 WDDX 受支持（名称 wddx）。仅当 PHP 使用 WDDX 支持 编译时，WDDX 才可用。php_serialize 在内部使用简单的序列化/反序列化函数，并且没有 php 和 php_binary 拥有的限制。旧的序列化处理程序无法存储数字索引，也无法存储字符串索引包含特殊字符 (| 和 !) 在 $_SESSION 中。使用 php_serialize 避免脚本关闭时出现数字索引或特殊字符错误。默认为 php。

session.gc_probability 整数

session.gc_probability 与 session.gc_divisor 结合使用来管理启动 gc（垃圾回收）例程的概率。默认为 1。必须大于或等于 0。有关详细信息，请参阅 session.gc_divisor。

session.gc_divisor 整数

session.gc_divisor 与 session.gc_probability 共同决定了每次会话初始化时垃圾回收 (gc) 进程启动的概率。概率通过 gc_probability/gc_divisor 计算得出，例如 1/100 表示每次请求有 1% 的概率启动 GC 进程。 session.gc_divisor 默认为 100。必须大于 0。

session.gc_maxlifetime int

session.gc_maxlifetime 指定数据被视为“垃圾”并可能被清理掉之前的秒数。垃圾回收可能在会话开始时发生（取决于 session.gc_probability 和 session.gc_divisor）。默认为 1440（24 分钟）。

注意：如果不同的脚本具有不同的 session.gc_maxlifetime 值，但共享相同的会话数据存储位置，那么具有最小值的脚本将清理数据。在这种情况下，请将此指令与 session.save_path 一起使用。

session.referer_check string

session.referer_check 包含您要检查每个 HTTP Referer 的子字符串。如果 Referer 由客户端发送并且未找到子字符串，则嵌入的会话 ID 将被标记为无效。默认为空字符串。

session.entropy_file string

session.entropy_file 提供了一个外部资源（文件）的路径，该资源将用作会话 ID 创建过程中的附加熵源。例如 /dev/random 或 /dev/urandom，它们在许多 Unix 系统上可用。 此功能在 Windows 上受支持。将 session.entropy_length 设置为非零值将使 PHP 使用 Windows 随机 API 作为熵源。

注意：在 PHP 7.1.0 中移除。 session.entropy_file 默认为 /dev/urandom 或 /dev/arandom（如果可用）。

session.entropy_length int

session.entropy_length 指定从上面指定的文件读取的字节数。默认为 32。 在 PHP 7.1.0 中移除。

session.use_strict_mode bool

session.use_strict_mode 指定模块是否使用严格的会话 ID 模式。如果启用此模式，则模块不接受未初始化的会话 ID。如果从浏览器发送未初始化的会话 ID，则会向浏览器发送新的会话 ID。应用程序通过严格模式免受会话固定（通过会话采用）的攻击。默认为 0（禁用）。

注意：为了确保会话的整体安全性，必须启用 session.use_strict_mode。建议所有站点都启用此功能。有关更多详细信息，请参阅 session_create_id() 示例代码。

警告

如果通过 session_set_save_handler() 注册的自定义会话处理程序未实现 SessionUpdateTimestampHandlerInterface::validateId()，或者分别未提供 validate_sid 回调，则严格的会话 ID 模式将被有效禁用，而不管此指令的值如何。特别要注意的是，SessionHandler 没有实现 SessionHandler::validateId()。

session.use_cookies bool

session.use_cookies 指定模块是否使用 cookie 在客户端存储会话 ID。默认为 1（启用）。

session.use_only_cookies bool

session.use_only_cookies 指定模块是否**仅**使用 cookie 在客户端存储会话 ID。启用此设置可防止涉及在 URL 中传递会话 ID 的攻击。默认为 1（启用）。

session.cookie_lifetime int

session.cookie_lifetime 指定发送到浏览器的 cookie 的生命周期（以秒为单位）。值 0 表示“直到浏览器关闭”。默认为 0。另请参阅 session_get_cookie_params() 和 session_set_cookie_params()。

注意：过期时间戳相对于服务器时间设置，服务器时间不一定与客户端浏览器中的时间相同。

session.cookie_path string

session.cookie_path 指定在会话 cookie 中设置的路径。默认为 /。另请参阅 session_get_cookie_params() 和 session_set_cookie_params()。

session.cookie_domain string

session.cookie_domain 指定在会话 cookie 中设置的域名。默认为无，这意味着根据 cookie 规范生成 cookie 的服务器的主机名。另请参阅 session_get_cookie_params() 和 session_set_cookie_params()。

session.cookie_secure bool

session.cookie_secure 指定 cookie 是否应该仅通过安全连接发送。将此选项设置为 on 时，会话仅适用于 HTTPS 连接。如果为 off，则会话适用于 HTTP 和 HTTPS 连接。默认为 off。另请参阅 session_get_cookie_params() 和 session_set_cookie_params()。

session.cookie_httponly bool

将 cookie 标记为仅可通过 HTTP 协议访问。这意味着 cookie 无法被脚本语言（如 JavaScript）访问。此设置可以有效帮助减少通过 XSS 攻击造成的身份盗窃（尽管并非所有浏览器都支持）。

session.cookie_samesite string

允许服务器断言 cookie 不应与跨站点请求一起发送。此断言允许用户代理降低跨源信息泄露的风险，并提供针对跨站点请求伪造攻击的一些保护。请注意，并非所有浏览器都支持此功能。空值表示不会设置任何 SameSite cookie 属性。Lax 和 Strict 表示 cookie 不会为 POST 请求跨域发送；Lax 将为跨域 GET 请求发送 cookie，而 Strict 则不会。

session.cache_limiter string

session.cache_limiter 指定用于会话页面的缓存控制方法。它可以是以下值之一：nocache、private、private_no_expire 或 public。默认为 nocache。另请参阅 session_cache_limiter() 文档以了解这些值的含义。

session.cache_expire int

session.cache_expire 指定缓存会话页面的生存时间（以分钟为单位），这对 nocache 限制器无效。默认为 180。另请参阅 session_cache_expire()。

session.use_trans_sid bool

session.use_trans_sid 是否启用透明 sid 支持。默认为 0（禁用）。

注意：与基于 cookie 的会话管理相比，基于 URL 的会话管理存在其他安全风险。例如，用户可以通过电子邮件向朋友发送包含活动会话 ID 的 URL，或者用户可以将包含会话 ID 的 URL 保存到书签，并始终使用相同的会话 ID 访问您的站点。 从 PHP 7.1.0 开始，trans sid 功能处理完整的 URL 路径，例如 https://php.net/。以前的 PHP 仅处理相对 URL 路径。重写目标主机由 session.trans_sid_hosts 定义。

session.trans_sid_tags string

session.trans_sid_tags 指定在启用透明 sid 支持时哪些 HTML 标签将被重写以包含会话 ID。默认为 a=href,area=href,frame=src,input=src,form= form 是特殊标签。<input hidden="session_id" name="session_name"> 作为表单变量添加。

注意: 在 PHP 7.1.0 之前，url_rewriter.tags 用于此目的。从 PHP 7.1.0 开始，fieldset 不再被视为特殊标签。

session.trans_sid_hosts 字符串

session.trans_sid_hosts 指定在启用透明 sid 支持时，哪些主机需要重写以包含会话 ID。默认为 $_SERVER['HTTP_HOST']。可以使用 "," 指定多个主机，主机之间不允许有空格。例如：php.net,wiki.php.net,bugs.php.net

session.sid_length 整数

session.sid_length 允许您指定会话 ID 字符串的长度。会话 ID 长度可以在 22 到 256 之间。 默认为 32。如果您需要兼容性，可以指定 32、40 等。较长的会话 ID 较难猜测。建议至少使用 32 个字符。

提示

兼容性说明：使用 32 代替 session.hash_function=0 (MD5) 和 session.hash_bits_per_character=4，session.hash_function=1 (SHA1) 和 session.hash_bits_per_character=6。使用 26 代替 session.hash_function=0 (MD5) 和 session.hash_bits_per_character=5。使用 22 代替 session.hash_function=0 (MD5) 和 session.hash_bits_per_character=6。您必须配置 INI 值以在会话 ID 中至少有 128 位。不要忘记为 session.sid_bits_per_character 设置适当的值，否则您的会话 ID 将较弱。

注意: 此设置是在 PHP 7.1.0 中引入的。

session.sid_bits_per_character 整数

session.sid_bits_per_character 允许您指定编码的会话 ID 字符中位的数量。可能的值为“4”（0-9、a-f）、“5”（0-9、a-v）和“6”（0-9、a-z、A-Z、“-”、“，”）。 默认为 4。位数越多，会话 ID 越强。对于大多数环境，建议使用 5。

注意: 此设置是在 PHP 7.1.0 中引入的。

session.hash_function 混合类型

session.hash_function 允许您指定用于生成会话 ID 的哈希算法。“0”表示 MD5（128 位），“1”表示 SHA-1（160 位）。

还可以指定由 hash 扩展（如果可用）提供的任何算法，例如 sha512 或 whirlpool。可以使用 hash_algos() 函数获取支持算法的完整列表。

注意: 已在 PHP 7.1.0 中移除。

session.hash_bits_per_character 整数

session.hash_bits_per_character 允许您定义在将二进制哈希数据转换为可读数据时，每个字符中存储多少位。可能的值为“4”（0-9、a-f）、“5”（0-9、a-v）和“6”（0-9、a-z、A-Z、“-”、“，”）。

注意: 已在 PHP 7.1.0 中移除。

session.upload_progress.enabled 布尔值

启用上传进度跟踪，填充 $_SESSION 变量。默认为 1，启用。

session.upload_progress.cleanup 布尔值

在读取所有 POST 数据（即上传完成）后立即清理进度信息。默认为 1，启用。

注意: 强烈建议保持此功能启用。

session.upload_progress.prefix 字符串

用于 $_SESSION 中上传进度键的前缀。此键将与 $_POST[ini_get("session.upload_progress.name")] 的值连接以提供唯一的索引。 默认为“upload_progress_”。

session.upload_progress.name 字符串

用于存储进度信息的 $_SESSION 中键的名称。另请参阅 session.upload_progress.prefix。 如果未传递或无法使用 $_POST[ini_get("session.upload_progress.name")]，则不会记录上传进度。 默认为“PHP_SESSION_UPLOAD_PROGRESS”。

session.upload_progress.freq 混合类型

定义应更新上传进度信息的频率。这可以用字节（例如“每 100 字节更新一次进度信息”）或百分比（例如“接收整个文件大小的 1% 后更新一次进度信息”）来定义。 默认为“1%”。

session.upload_progress.min_freq 整数

更新之间的最小延迟，以秒为单位。默认为“1”（一秒）。

session.lazy_write 布尔值

session.lazy_write，设置为 1 时，表示仅在会话数据更改时才重写会话数据。默认为 1，启用。

除非启用 session.upload_progress.enabled 并且设置了 $_POST[ini_get("session.upload_progress.name")] 变量，否则不会注册上传进度。有关此功能的更多详细信息，请参阅 会话上传进度。