PHP如何禁止session超時

# PHP如何禁止session超時

## 前言

在PHP開發中，Session是維持用戶狀態的重要機制。默認情況下，Session會在用戶關閉瀏覽器或超過一定時間（通常為24分鐘）后自動過期。但在某些場景下（如后臺管理系統、長時間操作流程等），我們需要延長或禁止Session超時。本文將介紹幾種實現方法。

## 方法一：修改php.ini配置

最直接的方式是修改PHP的全局配置：

```ini
; 設置Session過期時間（單位：秒）
session.gc_maxlifetime = 86400  ; 24小時
session.cookie_lifetime = 86400 ; Cookie有效期

注意事項： 1. 需要重啟Web服務器生效 2. 會影響所有PHP應用 3. 實際過期時間還受垃圾回收機制影響

方法二：通過ini_set()動態設置

在腳本中動態修改配置：

<?php
// 設置Session存活時間（1小時）
ini_set('session.gc_maxlifetime', 3600);
ini_set('session.cookie_lifetime', 3600);

// 必須在使用session_start()前調用
session_start();

方法三：定期刷新Session

通過JavaScript定時請求服務端保持Session活躍：

// keepalive.php
<?php
session_start();
$_SESSION['last_activity'] = time(); // 更新最后活動時間

// 前端每5分鐘發送一次請求
setInterval(() => {
  fetch('/keepalive.php');
}, 5 * 60 * 1000);

方法四：自定義Session處理器

實現自定義的Session存儲邏輯：

class CustomSessionHandler implements SessionHandlerInterface {
    public function read($id) {
        // 自定義讀取邏輯
    }
    
    public function write($id, $data) {
        // 寫入時自動延長過期時間
        $this->updateExpiry($id);
    }
    
    private function updateExpiry($id) {
        // 更新存儲中的過期時間
    }
}

$handler = new CustomSessionHandler();
session_set_save_handler($handler, true);

方法五：禁用垃圾回收

極端情況下可以完全禁用GC：

ini_set('session.gc_probability', 0);

警告： 這可能導致服務器存儲大量過期Session文件

最佳實踐建議

1. 根據實際需求設置合理的過期時間
2. 重要系統建議結合數據庫存儲Session
3. 前端應提供”即將超時”提醒功能
4. 敏感操作應要求重新認證

總結

禁止Session超時需要綜合考慮安全性、服務器資源和用戶體驗。推薦采用方法二+方法三的組合方案，既能延長有效時間，又能避免資源浪費。對于關鍵業務系統，建議實現完整的會話管理機制而非簡單禁用超時。

注意：實際開發中應評估安全風險，無限延長Session可能導致CSRF等安全問題 “`