如何杀死一个/所有的 php 会话？

Question

我有一个非常基本的 php 会话登录脚本。我想强制注销某个用户或强制注销所有用户。

我如何才能读取对我的网站进行的所有会话，并销毁部分或所有会话？

Answer 1

你可以尝试强制 PHP 删除所有会话

ini_set('session.gc_max_lifetime', 0);
ini_set('session.gc_probability', 1);
ini_set('session.gc_divisor', 1);

这迫使 PHP 将所有会话视为具有 0 秒的生命周期，并且有 100% 的可能性被清理。

缺点是，无论哪个倒霉的用户首先运行它都会在 PHP 进行清理时暂停很长时间，尤其是在需要处理大量会话文件的情况下。

对于某个特定用户，您必须在会话处理程序中添加一些代码：

 if ($_SESSION['username'] == 'user to delete') {
     session_destroy();
 }

PHP 的垃圾收集器是不可控制的，所以你不能给它一些参数，比如“删除除用户 X 之外的所有会话”。它严格查看会话文件上最后修改/最后访问的时间戳，并将其与 max_lifetime 设置进行比较。它实际上并不处理会话数据。

Answer 2

您可以使用session_save_path() 找到PHP 保存会话文件的路径，然后使用unlink() 删除它们。

Answer 3

更新 - 2012 年 8 月

这段代码基于official PHP site，另一个写得很好的snippet on SO。

<?php
// Finds all server sessions
session_start();
// Stores in Array
$_SESSION = array();
// Swipe via memory
if (ini_get("session.use_cookies")) {
    // Prepare and swipe cookies
    $params = session_get_cookie_params();
    // clear cookies and sessions
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}
// Just in case.. swipe these values too
ini_set('session.gc_max_lifetime', 0);
ini_set('session.gc_probability', 1);
ini_set('session.gc_divisor', 1);
// Completely destroy our server sessions..
session_destroy();
?>

效果很好。像 NGinx 这样的服务器，您可以关闭、清理缓存、刷卡内存重置、清除日志等，并且通常会删除临时使用。甚至打破内存的限制。

Answer 4

一次清除所有会话需要首先知道哪个session.save_handler被用于存储会话并找到session.save_path以删除所有会话。仅删除当前会话，请参考the documentation for session_destroy()。

以下是使用标准文件和 memcached 保存处理程序删除所有会话的一些常见示例：

使用文件保存处理程序

foreach(glob(ini_get("session.save_path") . "/*") as $sessionFile) {
    unlink($sessionFile);
}

使用 memcached 保存处理程序

$memcached = new Memcached;
$memcached->addServers($listOfYourMemcachedSesssionServers);

// Memcached session keys are prefixed with "memc.sess.key." by default
$sessionKeys = preg_grep("@^memc\.sess\.key\.@", $memcached->getAllKeys());
$memcached->deleteMulti($sessionKeys);

当然，您可能只想考虑只在正常 HTTP 客户端请求的带外执行此操作，因为清理大型会话存储可能需要一些时间，并且在正常的请求生命周期中会产生无意的副作用。

Answer 5

这取决于您的会话存储。

如果您使用的是 PHP 会话存储，那么它们可能位于您服务器的临时目录中。删除选定的文件将“终止”会话。但是，如果您的服务器处于运行状态，则该会话文件可能已被 HTTP 进程占用，您将无法删除它。看看下面的图片。以“+~”开头的文件都是会话文件。

更好的解决方案是使用数据库会话存储并从那里删除选定的会话。您可以查看HTTP_Session2，它有多个containers。

Answer 6

我发现这段代码非常有用，它真的对我有用

<?php

$path = session_save_path();

$files = glob($path.'/*'); // get all file names
foreach($files as $file){ // iterate files
  if(is_file($file))
    unlink($file); // delete file
}

?>

Answer 7

我将创建一个txt 文件，其中包含与生成的登录会话具有相同值的令牌，作为每次用户登录时的比较：

if($_SERVER['REQUEST_METHOD'] == 'POST') {
    $token = sha1(uniqid(mt_rand(), true));
    if($everything_is_valid) {
        // Set login session
        $_SESSION[$_POST['username']] = $token;
        // Create token file
        file_put_contents('log/token.' . $_POST['username'] . '.txt', $token);
        // Just to be safe
        chmod('log/token.' . $_POST['username'] . '.txt', 0600);
    }
}

检查登录用户：

if(isset($_SESSION['charlie']) && file_exists('log/token.charlie.txt') && $_SESSION['charlie'] == file_get_contents('log/token.charlie.txt')) {
    echo 'You are logged in.';
}

因此，如果您想强制此charlie 用户退出，只需删除令牌文件：

// Force logout the `charlie` user
unlink('log/token.charlie.txt');

Answer 8

陶菲克的答案是我能找到的最好的答案。
但是，您可以进一步修改它
验证用户并创建会话变量后，添加以下行：

$token = "/sess_" . session_id();
file_put_contents('log/' . $_SESSION['id'] . '.txt', $token);

如果您需要在 cronjob 期间或通过管理员请求强制用户注销：

$path = session_save_path();
$file = file_get_contents('log/xxx.txt'); // xxx is user's id
$url = $path.$file;
unlink($url);

Answer 9

删除所有会话变量

session_unset();

销毁会话

session_destroy();