您应该实现自己的会话超时。其他人提到的两个选项(会话。Gc_maxlifetime和session.cookie_lifetime)不可靠。我会解释其中的原因。

第一:

session.gc_maxlifetime 会话。Gc_maxlifetime指定数据被视为“垃圾”并被清理的秒数。在会话启动期间发生垃圾收集。

但是垃圾收集器只在会话概率时启动。gc_概率除以session。gc_除数。如果使用这些选项的默认值(分别为1和100)，概率只有1%。

您可以简单地调整这些值，以便更频繁地启动垃圾收集器。但是当垃圾收集器启动时，它将检查每个已注册会话的有效性。这是成本密集型的。

此外，当使用PHP的默认会话时。Save_handler文件，会话数据保存在session.save_path中指定路径下的文件中。使用该会话处理程序，会话数据的年龄是根据文件的最后修改日期计算的，而不是最后访问日期:

注意:如果您正在使用默认的基于文件的会话处理程序，您的文件系统必须跟踪访问时间(atime)。Windows FAT没有，所以如果您被FAT文件系统或任何其他时间跟踪不可用的文件系统所困，您将不得不想出另一种方法来处理会话的垃圾收集。自PHP 4.2.3以来，它使用mtime(修改日期)而不是atime。因此，对于时间跟踪不可用的文件系统，您不会遇到问题。

因此，在删除会话数据文件时，由于会话数据最近没有更新，因此会话本身仍然被认为是有效的。

第二:

session.cookie_lifetime 会话。Cookie_lifetime指定发送到浏览器的cookie的生存期，以秒为单位。[…]

是的，没错。这只会影响cookie的生存期，会话本身可能仍然有效。但是使会话无效是服务器的任务，而不是客户端。所以这没有任何帮助。事实上，正在进行会话。Cookie_lifetime设置为0将使会话的cookie成为真正的会话cookie，它只在浏览器关闭之前有效。

结论/最佳解决方案:

最好的解决方案是实现您自己的会话超时。使用一个简单的时间戳来表示最后一个活动(即请求)的时间，并在每个请求时更新它:

if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > 1800)) {
    // last request was more than 30 minutes ago
    session_unset();     // unset $_SESSION variable for the run-time 
    session_destroy();   // destroy session data in storage
}
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time stamp

为每个请求更新会话数据还会改变会话文件的修改日期，这样会话就不会被垃圾收集器过早地删除。

你也可以使用一个额外的时间戳来定期重新生成会话ID，以避免会话固定等攻击:

if (!isset($_SESSION['CREATED'])) {
    $_SESSION['CREATED'] = time();
} else if (time() - $_SESSION['CREATED'] > 1800) {
    // session started more than 30 minutes ago
    session_regenerate_id(true);    // change session ID for the current session and invalidate old session ID
    $_SESSION['CREATED'] = time();  // update creation time
}

注:

会话。Gc_maxlifetime应该至少等于这个自定义过期处理程序的生命周期(在本例中为1800); 如果你想让会话在活动30分钟后过期，而不是在启动后30分钟后过期，你还需要使用setcookie的过期时间()+60*30来保持会话cookie的活动状态。

PHP会话在30分钟内到期的简单方法。

注意:如果你想改变时间，只需要改变30和你想要的时间，不要改变* 60:这将给出分钟。

分钟:(30 * 60) (n * 24 * 60 * 60) n = no天

login。

<?php
    session_start();
?>

<html>
    <form name="form1" method="post">
        <table>
            <tr>
                <td>Username</td>
                <td><input type="text" name="text"></td>
            </tr>
            <tr>
                <td>Password</td>
                <td><input type="password" name="pwd"></td>
            </tr>
            <tr>
                <td><input type="submit" value="SignIn" name="submit"></td>
            </tr>
        </table>
    </form>
</html>

<?php
    if (isset($_POST['submit'])) {
        $v1 = "FirstUser";
        $v2 = "MyPassword";
        $v3 = $_POST['text'];
        $v4 = $_POST['pwd'];
        if ($v1 == $v3 && $v2 == $v4) {
            $_SESSION['luser'] = $v1;
            $_SESSION['start'] = time(); // Taking now logged in time.
            // Ending a session in 30 minutes from the starting time.
            $_SESSION['expire'] = $_SESSION['start'] + (30 * 60);
            header('Location: http://localhost/somefolder/homepage.php');
        } else {
            echo "Please enter the username or password again!";
        }
    }
?>

HomePage.php

<?php
    session_start();

    if (!isset($_SESSION['luser'])) {
        echo "Please Login again";
        echo "<a href='http://localhost/somefolder/login.php'>Click Here to Login</a>";
    }
    else {
        $now = time(); // Checking the time now when home page starts.

        if ($now > $_SESSION['expire']) {
            session_destroy();
            echo "Your session has expired! <a href='http://localhost/somefolder/login.php'>Login here</a>";
        }
        else { //Starting this else one [else1]
?>
            <!-- From here all HTML coding can be done -->
            <html>
                Welcome
                <?php
                    echo $_SESSION['luser'];
                    echo "<a href='http://localhost/somefolder/logout.php'>Log out</a>";
                ?>
            </html>
<?php
        }
    }
?>

LogOut.php

<?php
    session_start();
    session_destroy();
    header('Location: http://localhost/somefolder/login.php');
?>

您应该实现自己的会话超时。其他人提到的两个选项(会话。Gc_maxlifetime和session.cookie_lifetime)不可靠。我会解释其中的原因。

第一:

session.gc_maxlifetime 会话。Gc_maxlifetime指定数据被视为“垃圾”并被清理的秒数。在会话启动期间发生垃圾收集。

但是垃圾收集器只在会话概率时启动。gc_概率除以session。gc_除数。如果使用这些选项的默认值(分别为1和100)，概率只有1%。

您可以简单地调整这些值，以便更频繁地启动垃圾收集器。但是当垃圾收集器启动时，它将检查每个已注册会话的有效性。这是成本密集型的。

此外，当使用PHP的默认会话时。Save_handler文件，会话数据保存在session.save_path中指定路径下的文件中。使用该会话处理程序，会话数据的年龄是根据文件的最后修改日期计算的，而不是最后访问日期:

注意:如果您正在使用默认的基于文件的会话处理程序，您的文件系统必须跟踪访问时间(atime)。Windows FAT没有，所以如果您被FAT文件系统或任何其他时间跟踪不可用的文件系统所困，您将不得不想出另一种方法来处理会话的垃圾收集。自PHP 4.2.3以来，它使用mtime(修改日期)而不是atime。因此，对于时间跟踪不可用的文件系统，您不会遇到问题。

因此，在删除会话数据文件时，由于会话数据最近没有更新，因此会话本身仍然被认为是有效的。

第二:

session.cookie_lifetime 会话。Cookie_lifetime指定发送到浏览器的cookie的生存期，以秒为单位。[…]

是的，没错。这只会影响cookie的生存期，会话本身可能仍然有效。但是使会话无效是服务器的任务，而不是客户端。所以这没有任何帮助。事实上，正在进行会话。Cookie_lifetime设置为0将使会话的cookie成为真正的会话cookie，它只在浏览器关闭之前有效。

结论/最佳解决方案:

最好的解决方案是实现您自己的会话超时。使用一个简单的时间戳来表示最后一个活动(即请求)的时间，并在每个请求时更新它:

if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > 1800)) {
    // last request was more than 30 minutes ago
    session_unset();     // unset $_SESSION variable for the run-time 
    session_destroy();   // destroy session data in storage
}
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time stamp

为每个请求更新会话数据还会改变会话文件的修改日期，这样会话就不会被垃圾收集器过早地删除。

你也可以使用一个额外的时间戳来定期重新生成会话ID，以避免会话固定等攻击:

if (!isset($_SESSION['CREATED'])) {
    $_SESSION['CREATED'] = time();
} else if (time() - $_SESSION['CREATED'] > 1800) {
    // session started more than 30 minutes ago
    session_regenerate_id(true);    // change session ID for the current session and invalidate old session ID
    $_SESSION['CREATED'] = time();  // update creation time
}

注:

会话。Gc_maxlifetime应该至少等于这个自定义过期处理程序的生命周期(在本例中为1800); 如果你想让会话在活动30分钟后过期，而不是在启动后30分钟后过期，你还需要使用setcookie的过期时间()+60*30来保持会话cookie的活动状态。

使用此课程30分钟

class Session{
    public static function init(){
        ini_set('session.gc_maxlifetime', 1800) ;
        session_start();
    }
    public static function set($key, $val){
        $_SESSION[$key] =$val;
    }
    public static function get($key){
        if(isset($_SESSION[$key])){
            return $_SESSION[$key];
        } else{
            return false;
        }
    }
    public static function checkSession(){
        self::init();
        if(self::get("adminlogin")==false){
            self::destroy();
            header("Location:login.php");
        }
    }
    public static function checkLogin(){
        self::init();
        if(self::get("adminlogin")==true){
            header("Location:index.php");
        }
    }
    public static function destroy(){
        session_destroy();
        header("Location:login.php");
    }
}

您可以直接使用DB作为替代。我使用一个DB函数来做这件事，我称之为chk_lgn。

检查登录检查，看看他们是否登录，在这样做的时候，它将检查的日期时间戳设置为用户db行/列中的最后一个活动。

我也会核对时间。这对我来说是有效的，因为我对每个页面都使用这个函数。

附注:我所见过的人中，没有人建议使用纯DB解决方案。

使用时间戳……

<?php
if (!isset($_SESSION)) {
    $session = session_start();
} 
if ($session && !isset($_SESSION['login_time'])) {
    if ($session == 1) {
        $_SESSION['login_time']=time();
        echo "Login :".$_SESSION['login_time'];
        echo "<br>";
        $_SESSION['idle_time']=$_SESSION['login_time']+20;
        echo "Session Idle :".$_SESSION['idle_time'];
        echo "<br>";
    } else{
        $_SESSION['login_time']="";
    }
} else {
    if (time()>$_SESSION['idle_time']){
        echo "Session Idle :".$_SESSION['idle_time'];
        echo "<br>";
        echo "Current :".time();
        echo "<br>";
        echo "Session Time Out";
        session_destroy();
        session_unset();
    } else {
        echo "Logged In<br>";
    }
}
?>

我用了20秒的时间戳使会话过期。

如果你需要30分钟，加1800(30分钟单位秒)…