如何在PHP中更改会话超时？

如果需要严格的保证，会话超时是必须在代码中实现的概念。这是 唯一的办法 ，你可以绝对肯定的是，没有永远的会话将不活动的X分钟后存活。

如果稍微放松一下此要求是可以接受的，并且可以设置 下限 而不是严格的持续时间，那么您可以轻松地做到这一点，而无需编写自定义逻辑。

轻松环境中的便利：如何以及为什么

如果 您的会话与饼干（他们可能是）来实现，并且如果客户端是没有恶意的，你可以设定一个上限通过调整某些参数绑定在会话持续时间。如果您将PHP的默认会话处理与Cookie配合使用，则设置session.gc_maxlifetime和session_set_cookie_params应该适合您，如下所示：

// server should keep session data for AT LEAST 1 hour
ini_set('session.gc_maxlifetime', 3600);

// each client should remember their session id for EXACTLY 1 hour
session_set_cookie_params(3600);

session_start(); // ready to go!

通过将服务器配置为使会话数据保持至少一小时的不活动状态，并指示您的客户端在相同的时间间隔后“忘记”其会话ID，可以进行此操作。
这两个步骤都是实现预期结果所必需的。

• 如果您不告诉客户一个小时后忘记他们的会话ID（或者如果客户是恶意的并且选择忽略您的指令），他们将继续使用相同的会话ID，其有效期限将是不确定的。这是因为生存期已在服务器端终止的会话不会立即进行垃圾收集，而只会在会话GC启动时进行垃圾收集。

GC是一个潜在的昂贵过程，因此通常概率很小或什至为零（获得大量点击的网站可能会完全放弃概率性GC，并将其安排在每隔X分钟出现在后台）。在这两种情况下（假定不合作的客户端），有效会话生存期的下限将是session.gc_maxlifetime，但是上限将是不可预测的。

• 如果您没有设置session.gc_maxlifetime相同的时间跨度，则服务器可能会在此之前更早地丢弃空闲会话数据；在这种情况下，仍然记住其会话ID的客户端将显示该ID，但服务器将找不到与该会话相关的数据，从而有效地表现出该会话刚刚开始。

在关键环境中的确定性

您可以通过使用自定义逻辑还放置使事情完全可控 的上限 会话活动; 再加上上方的下限，将导致严格的设置。

通过将上限与其他会话数据一起保存，可以做到这一点：

session_start(); // ready to go!

$now = time();
if (isset($_SESSION['discard_after']) && $now > $_SESSION['discard_after']) {
    // this session has worn out its welcome; kill it and start a brand new one
    session_unset();
    session_destroy();
    session_start();
}

// either new or old, it should live at most for another hour
$_SESSION['discard_after'] = $now + 3600;

会话ID持久化

到目前为止，我们根本不关心每个会话ID的确切值，只关心只要我们需要它们就应该存在数据。请注意，在（不太可能）会话ID对您很重要的情况下，必须注意session_regenerate_id在需要时使用它们重新生成它们。