php如何实现session的管理

session_start — 启动新会话或者重用现有会话

严格会话管理 （推荐学习：PHP编程从入门到精通）

目前，默认情况下，PHP 是以自适应的方式来管理会话的， 这种方式使用起来很灵活，但是同样也带来了一定的风险。

从 PHP 5.5.2 开始，新增加了一个配置项： session.use_strict_mode。 当启用这个配置项，并且你所用的会话存储处理器支持的话，未经初始化的会话 ID 会被拒绝， 并为其生成一个全新的会话，这可以避免攻击者使用一个已知的会话 ID 来进行攻击。

例如，攻击者可以通过邮件给受害者发送一个包含会话 ID 的链接： http://example.com/page.php?PHPSESSID=123456789。

如果启用了 session.use_trans_sid 配置项， 那么受害者将会使用攻击者所提供的会话 ID 开始一个新的会话。 如果启用了 session.use_strict_mode 选项，就可以降低风险。

Warning

用户自定义的会话存储器也可以通过实现会话 ID 验证来支持严格会话模式。 建议用户在实现自己的会话存储器的时候， 一定要对会话 ID 的合法性进行验证。

在浏览器一侧，可以为用来保存会话 ID 的 cookie 设置域，路径， 仅允许 HTTP 访问，必须使用 HTTPS 访问等安全属性。 如果使用的是 PHP 7.3. 版本，还可以对 cookie 设置 SameSite 属性。 攻击者可以利用浏览器的这些特性来设置永久可用的会话 ID。

仅仅设置 session.use_only_cookies 配置项 无法解决这个问题。而 session.use_strict_mode 配置项 可以降低这种风险。设置 session.use_strict_mode=On， 来拒绝未经初始化的会话 ID。

Note: 虽然使用 session.use_strict_mode 配置项 可以降低灵活会话管理方式所带来的风险， 攻击者还是通过利用 JavaScript 注入等手段， 强制用户使用由攻击者创建的并且经过了正常的初始化的会话 ID。

如何降低这种风向，可以参考本手册的建议部分。 如果你已经启用了 session.use_strict_mode 配置项， 同时使用基于时间戳的会话管理， 并且通过设置 session_regenerate_id() 配置项 来重新生成会话 ID， 那么，攻击者生成的会话 ID 就可以被删除掉了。

当发生对过期会话访问的时候， 你应该保存活跃会话的所有数据， 以备后续分析使用。 然后让用户退出当前的会话，并且重新登录。 防止攻击者继续使用“偷”来的会话。

Warning

对过期会话数据的访问并不总是意味着正在遭受攻击。 不稳定的网络状况，或者不正确的会话删除行为， 都会导致合法的用户产生访问过期会话数据的情况。