PHP: Çalışma Anı Yapılandırması

[edit] Last updated: Fri, 23 Dec 2011

Çalışma Anı Yapılandırması

Bu işlevlerin davranışı php.ini içindeki ayarlardan etkilenir.

**Oturum Yapılandırma Yönergeleri**
İsim	Öntanımlı	Değişiklik Yeri	Sürüm Bilgisi
session.save_path	""	PHP_INI_ALL
session.name	"PHPSESSID"	PHP_INI_ALL
session.save_handler	"files"	PHP_INI_ALL
session.auto_start	"0"	PHP_INI_ALL
session.gc_probability	"1"	PHP_INI_ALL
session.gc_divisor	"100"	PHP_INI_ALL	PHP 4.3.2'den beri kullanılabilmektedir.
session.gc_maxlifetime	"1440"	PHP_INI_ALL
session.serialize_handler	"php"	PHP_INI_ALL
session.cookie_lifetime	"0"	PHP_INI_ALL
session.cookie_path	"/"	PHP_INI_ALL
session.cookie_domain	""	PHP_INI_ALL
session.cookie_secure	""	PHP_INI_ALL	PHP 4.0.4'ten beri kullanılabilmektedir.
session.cookie_httponly	""	PHP_INI_ALL	PHP 5.2.0'dan beri kullanılabilmektedir.
session.use_cookies	"1"	PHP_INI_ALL
session.use_only_cookies	"1"	PHP_INI_ALL	PHP 4.3.0'dan beri kullanılabilmektedir.
session.referer_check	""	PHP_INI_ALL
session.entropy_file	""	PHP_INI_ALL
session.entropy_length	"0"	PHP_INI_ALL
session.cache_limiter	"nocache"	PHP_INI_ALL
session.cache_expire	"180"	PHP_INI_ALL
session.use_trans_sid	"0"	PHP_INI_ALL	PHP <= 4.2.3'te PHP_INI_ALL. PHP < 5'te PHP_INI_PERDIR. PHP 4.0.3'ten beri kullanılabilmektedir.
session.bug_compat_42	"1"	PHP_INI_ALL	PHP 4.3.0'dan beri kullanılabilmektedir. PHP 6.0.0'da kaldırılmıştır.
session.bug_compat_warn	"1"	PHP_INI_ALL	PHP 4.3.0'dan beri kullanılabilmektedir. PHP 6.0.0'da kaldırılmıştır.
session.hash_function	"0"	PHP_INI_ALL	PHP 5.0.0'dan beri kullanılabilmektedir.
session.hash_bits_per_character	"4"	PHP_INI_ALL	PHP 5.0.0'dan beri kullanılabilmektedir.
url_rewriter.tags	"a=href,area=href,frame=src,form=,fieldset="	PHP_INI_ALL	PHP 4.0.4'ten beri kullanılabilmektedir.

PHP_INI_* kiplerinin tanımları ve ayrıntılı açıklamaları için Yapılandırma ayarlarının yeri bölümüne bakınız.

Oturum yönetim sistemi, php.ini dosyanıza yerleştirebileceğiniz bazı yapılandırma yönergelerini destekler. Bu yapılandırma yönergelerinin kısa açıklamalarını aşağıda bulabilirsiniz.

session.save_handler string: session.save_handler yönergesi (kayıt sistemi), bir oturumla ilişkilendirilmiş veriyi saklamakta ve geri almakta nelerin kullanılacağını tanımlar. files (dosyalar) öntanımlı değerdir. Bazı eklentilerin kendi save_handler yönergeleri vardır; bunları kurulumunuzun phpinfo() çıktısında görebilirsiniz. Ayrıca bakınız: session_set_save_handler().
session.save_path string: session.save_path yönergesi session.save_handler yönergesinde belirtilen kayıt sistemine hangi değiştirgelerin aktarılacağını tanımlar. Öntanımlı kayıt sistemin (files) seçerseniz bu yönergenin değeri dosyaların oluşturulacağı dosya yolu olacaktır. Ayrıca bakınız: session_save_path().
Oturum dosyalarınızın yayılacağı dizin derinliğini belirlemekte kullanılmak üzere seçimlik bir N değiştirgesi vardır. Örneğin yönergeye '5;/tmp' değerini atarsanız, bir oturum dosyası şöyle bir konuma konabilir: /tmp/4/b/1/e/3/sess_4b1e384ad74619bd212e236e52a5a174If. N değiştirgesini kullanacaksanız bu dizinleri kullanmadan önce oluşturmuş olmalısınız. Bunu yapmak için ext/session altında mod_files.sh adında bir betik vardır (Windows için mod_files.bat). Ayrıca, N değiştirgesinin sıfırdan büyük bir değerle kullanılması durumunda özdevinimli bir çöp toplayıcının devreye gireceğine de dikkat ediniz; daha ayrıntılı bilgi için php.ini dosyanıza bakınız. Ayrıca, N değiştirgesini kullanmanız durumunda, noktalı virgül (;) ayracı php.ini dosyasında açıklamaları başlatmak için kullanıldığından yönergenin değerini tırnak içine almalısınız.

Uyarı
Bu yönergeyi öntanımlı değeriyle bırakırsanız veya herkesin okuyabileceği bir dizin tanımlarsanız (öntanımlı olan /tmp gibi), diğer kullanıcılar bu dizindeki dosyaların listesini alarak oturum bilgilerini sunucu üzerinde kendi amaçları doğrultusunda kullanabilirler.

Bilginize: PHP'nin 4.3.6 sürümünden önce, Windows kullanıcılar bu değeri PHP'nin oturum işlevlerini kullanacağı sırada değiştirmek zorundaydılar. Geçerli bir dosya yolu olarak, örneğin c:/temp belirtilebilir.
session.name string: session.name yönergesi çerez ismi olarak kullanılacak oturum ismini belirler. İsim sadece abecesayısal karakterler içermelidir. PHPSESSID öntanımlıdır. Ayrıca bakınız: session_name().
session.auto_start boolean: session.auto_start yönergesi, bir oturumun özdevinimli olarak isteğin başlangıcında başlatılıp başlatılmayacağını belirler. Öntanımlı değer 0 olup, başlatılmaz.
session.serialize_handler string: session.serialize_handler yönergesi, veriyi dizgeleştirmek/nesneleştirmek için kullanılacak biçem ismini belirler. Şimdilik sadece, PHP'nin dahili biçemi (php veya php_binary ismiyle) ve WDDX (wddx ismiyle) desteklenmektedir. PHP, WDDX desteği ile derlenmişse wddx tek seçenektir. php öntanımlıdır.
session.gc_probability integer: session.gc_probability yönergesi session.gc_divisor yönergesi ile birlikte gc (garbage collection) çöp toplayıcı yordamının başlatılma olasılığını yönetmek için kullanılır. Ayrıntılar için session.gc_divisor yönergesinin açıklamasına bakınız.
session.gc_divisor integer: session.gc_divisor yönergesi session.gc_probability yönergesi ile birlikte, her oturum ilklendirilişinde gc (garbage collection) çöp toplayıcı yordamının başlatılma olasılığını yönetmek için kullanılır. Olasılık, gc_probability/gc_divisor şeklinde hesaplanır. Örneğin, 1/100 oranının anlamı: Her istekte GC sürecinin başlatılma şansı %1'dir. session.gc_divisor yönergesinin öntanımlı değeri 100'dür.
session.gc_maxlifetime integer: session.gc_maxlifetime yönergesi verinin kaç saniye sonra 'çöp' olarak ele alınıp temizleneceğini belirler. Çöp toplayıcı oturum başlangıcında etkin olur.
Bilginize:
Eğer session.gc_maxlifetime değeri olarak farklı betikler farklı değerler belirtiyorsa fakat oturum verisini saklamak için aynı yeri paylaşıyorlarsa verileri temizlemek için en küçük değere sahip betiğin değeri kullanılır. Bu durumda, bu yönerge session.save_path yönergesi ile birlikte kullanılmalıdır.

Bilginize: Öntanımlı olan dosyalara dayalı oturum yönetimini kullanıyorsanız, dosya sisteminiz dosyalara erişim zamanlarını (atime) saklamak zorundadır. Windows FAT bunu yapmaz; bu bakımdan, FAT dosya sistemini veya dosya erişim zamanınını kaydetmeyen harhangi bir dosya sistemini kullanmak zorundaysanız, çöp toplamayı sağlayacak başka bir yöntem kullanmalısınız. PHP 4.2.3'ten beri, bu amaçla atime yerine mtime (değişiklik zamanı) kullanılmaktadır; dolayısıyla, atime kaydı yapmayan dosya sistemlerinde artık böyle bir sorunla karşılaşmamanız sağlanmıştır.
session.referer_check string: session.referer_check yöntemi, Her HTTP Referrer başlığında içerilmesini istediğiniz bir alt dizgeyi tanımlar. Referrer başlığı istemci tarafından bu alt dizge içerilmeden gönderilmişse gömülü oturum kimliği geçersiz olur. Yönergenin öntanımlı değeri boş dizgedir.
session.entropy_file string: session.entropy_file yönergesi, oturum kimliğinin oluşturulma sürecinde ek döküntü kaynağı olarak kullanılacak harici bir özkaynağa (bir dosyaya) bir yol belirtir. Çoğu Unix sisteminde kullanılan örnekler: /dev/random veya /dev/urandom.
session.entropy_length integer: session.entropy_length yönergesi yukarıdaki yönergede belirtilen dosyadan okunacak baytların sayısını belirler. Öntanımlı değer 0'dir (hiç bayt okunmayacak).
session.use_cookies boolean: session.use_cookies yönergesi modülün, oturum kimliğini istemci tarafında saklamak için çerezleri kullanıp kullanmayacağını belirler. Öntanımlı değer 1 olup çerezler kullanılır.
session.use_only_cookies boolean: session.use_only_cookies yönergesi modülün, oturum kimliğini istemci tarafında saklamak için sadece çerezlerin mi kullanılacağını belirler. Bu yönergeyi etkin kılarak oturum kimliklerinin URL'lerde aktarılmaması sağlamak suretiyle saldırıları önlemiş olursunuz. Bu yönerge PHP 4.3.0'da eklenmiştir. PHP 5.3.0'dan beri öntanımlı değer 1'dir (etkin).
session.cookie_lifetime integer: session.cookie_lifetime yönergesi tarayıcıya gönderilen çerezin ömrünü saniye cinsinden belirler. Öntanımlı olan 0 değerinin anlamı "tarayıcı kapatılıncaya kadar"dır. Ayrıca bakınız: session_get_cookie_params() ve session_set_cookie_params().
Bilginize:
Zaman aşımı zaman damgası sunucu zamanına göre belirlenir. Sunucu zamanının istemci zamanıyla aynı olma zorunluluğu yoktur.
session.cookie_path string: session.cookie_path yönergesi oturum çerezinin path anahtarını tanımlar. Bölü çizgisi / öntanımlıdır. Ayrıca bakınız: session_get_cookie_params() ve session_set_cookie_params().
session.cookie_domain string: session.cookie_domain yönergesi oturum çerezinin domain anahtarını tanımlar. Öntanımlı değer none olup, çerez belirtimine göre çerezi üreten sunucunun konak isminin kullanılacağı anlamına gelir. Ayrıca bakınız: session_get_cookie_params() ve session_set_cookie_params().
session.cookie_secure boolean: session.cookie_secure yönergesi oturum çerezinin secure anahtarını tanımlar. Öntanımlı olarak off olup anlamı: Çerezler sadece güvenli bağlantılar üzerinden gönderilmez. Bu yönerge PHP 4.0.4'te eklenmiştir. Ayrıca bakınız: session_get_cookie_params() ve session_set_cookie_params().
session.cookie_httponly boolean: session.cookie_httponly yönergesi oturum çerezinin httponly anahtarını tanımlar. Etkin olduğu takdirde çerezlere sadece HTTP protokolü üzerinden erişilebilir. Yani çerezlere JavaScript betik dilleriyle erişilemez. Bu ayar, (tüm tarayıcılar tarafından desteklenmiyor olsa da) özellikle XSS saldırılarıyla kimlik hırsızlığını önlemek için çok etkilidir.
session.cache_limiter string: session.cache_limiter yönergesi, oturum sayfaları için kullanılacak önbellek denetim yöntemini belirler. Şu değerlerden biri olabilir: nocache, private, private_no_expire ve public nocache öntanımlıdır. Bu değerlerin anlamları için session_cache_limiter() işlevinin belgesine de bakınız.
session.cache_expire integer: session.cache_expire yönergesi, önbelleğe alınan oturumlar için dakika cinsinden ömür (ttl) tanımlar. Önbellek sınırlayıcı yoksa bu ayar etkisizdir. 180 öntanımlı değerdir. Ayrıca bakınız: session_cache_expire().
session.use_trans_sid boolean: session.use_trans_sid yönergesi, şeffaf SID desteğinin etkin olup olmayacağını belirler. Öntanımlı değer 0 olup etkin değildir.
Bilginize: PHP 4.1.2 ve öncesinde, şeffaf SID desteğinin PHP ile birlikte derlenmesi için derleme sırasında --enable-trans-sid seçeneğin kullanılması gerekmektedir; PHP 4.2.0'dan itibaren, bu seçeneğin kullanılması gerekmemektedir. URL'ye dayalı oturum yönetiminin çerezlere dayalı oturum yönetimine göre daha fazla güvenlik riski vardır. Örneğin, kullanıcılar, etkin oturum kimliğini içeren bir URL'yi epostayla arkadaşlarına gönderebilir veya sık kullanılanlarına kaydedebilir; böylece bu kişiler sitenize hep aynı oturum kimliğiyle oturum açarlar.
session.bug_compat_42 boolean: PHP'nin 4.2.3 ve önceki sürümlerinde, belgelenmemiş bir hata vardı: register_globals ektin olmadığı halde bir oturum değişkeninin küresel etki alanında ilklendirilmesine izin verilirdi. PHP 4.3.0 ve sonrasında session.bug_compat_warn ektin olduğunda, bu özellik kullanılırsa bir uyarı verilmektedir. Bu özellik/hata bu yönergeye Off değeri atanarak iptal edilebilmektedir.
session.bug_compat_warn boolean: PHP'nin 4.2.3 ve önceki sürümlerinde, belgelenmemiş bir hata vardı: register_globals ektin olmadığı halde bir oturum değişkeninin küresel etki alanında ilklendirilmesine izin verilirdi. PHP 4.3.0 ve sonrasında bu yönerge session.bug_compat_42 yönergesi ile birlikte etkin kılındığında, bu özellik kullanılırsa bir uyarı verilmektedir.
session.hash_function mixed: session.hash_function yönergesi oturum kimliğinin üretilmesinde kullanılmak üzere bir ileti özeti algoritması belirtilmesini sağlar. '0' değeri MD5 (128 bitlik) algoritmasının, '1' ise SHA-1 (160 bitlik) algoritmasının kullanılmasını sağlar.
PHP 5.3.0'dan itibaren hash eklentisini (kullanılabilir durumdaysa) kullanarak sha512 veya whirlpool gibi algoritmalar belirtilebilmektedir. Desteklenen algoritmaların tam listesi hash_algos() işlevi ile edinilebilir

Bilginize:
Bu yönerge PHP 5'ten itibaren kullanılabilmektedir.
session.hash_bits_per_character integer: session.hash_bits_per_character yönergesi, ikil ileti özeti dizgesi okunur biçeme dönüştürülürken karakterlerin kaç bitle saklanacağını belirler. Olası değerler: '4' (0-9, a-f), '5' (0-9, a-v), '6' (0-9, a-z, A-Z, "-", ",").
Bilginize:
Bu yönerge PHP 5'ten itibaren kullanılabilmektedir.
url_rewriter.tags string: url_rewriter.tags yönergesi, şeffaf SID desteği etkin olduğunda oturum kimliğinin dahil edilmesi için hangi HTML etiketlerinin yeniden yazılacağını belirler. Öntanımlı değer: a=href,area=href,frame=src,input=src,form=fakeentry,fieldset=
Bilginize: Eğer tam HTML/XHTML uyumluluğu isterseniz, form girdisini silip form alanlarını sınırlamak için <fieldset> etiketlerini kullanın.

track_vars ve register_globals yapılandıma yönergeleri oturum değişkenlerinin nasıl saklanacağını ve eski haline getirileceğini belirler.

Bilginize:
PHP 4.0.3'ten itibaren, track_vars yönergesinin değeri daima On'dur.

Özkaynak Türleri

Kurulum

[edit] Last updated: Fri, 23 Dec 2011

add a note User Contributed Notes Çalışma Anı Yapılandırması

AskApache 10-Nov-2010 10:00


This is how I set my session.save_path

session.save_path = "1;/home/askapache/tmp/s" 

So to create the folder structure you can use this compatible shell script, if you want to create with 777 permissions change the umask to 0000;

sh -o braceexpand -c "umask 0077;mkdir -p s/{0..9}/{a..z} s/{a..z}/{0..9}"



Then you can create a cronjob to clean the session folder by adding this to your crontab which deletes any session files older than an hour:

@daily find /home/askapache/tmp/s -type f -mmin +60 -exec rm -f {} \; &>/dev/null



That will create sessions in folder like:

 /home/askapache/tmp/s/b/sess_b1aba5q6io4lv01bpc6t52h0ift227j6



I don't think any non-mega site will need to go more than 1 levels deep.  Otherwise you create so many directories that it slows the performance gained by this.

orbill 30-Aug-2010 05:08


apparently the default value for session.use_only_cookies has changed in 5.3.3 from 0 to 1. If you haven't set this in your php.ini or your code to 0 transparent sessions won't work.

Nicholas 26-Aug-2010 11:08


Transient sessions do not appear to be working in 5.3.3



E.g.



<?php

    ini_set("session.use_cookies", 0);

    ini_set("session.use_trans_sid", 1);

    session_start();

    

    if (isset($_SESSION["foo"])) {

        echo "Foo: " . $_SESSION["foo"];

    } else {

        $_SESSION["foo"] = "Bar";

        echo "<a href=?" . session_name() . "=" . session_id() . ">Begin test</a>";

    }

?>



This works in 5.2.5, but not 5.3.3

Wouter 19-May-2010 03:14


When setting the session.cookie_lifetime directive in a .htaccess use string format like;



php_value session.cookie_lifetime "123456"



and not



php_value session.cookie_lifetime 123456



Using a integer as stated above dit not work in my case (Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g)

VIPSoft 27-Jul-2009 02:23


session.auto_start should always be "Off".



session.auto_start=On is considered "wrong" by Zend_Session as it causes an E_NOTICE to be thrown when Zend_Session::start() is called (either directly or indirectly, e.g., through Zend_Session_Namespace).

mikaelkael at php dot net 28-Jan-2009 12:50


Recently, I needed to change the session save_path in my program under Windows. With an ini_set('session.save_path', '../data/sessions'); (and session.gc_divisor = 1 for test), I always obtain 'Error #8 session_start(): ps_files_cleanup_dir: opendir(../data/sessions) failed: Result too large'.



I corrected this by changing with ini_set('session.save_path', realpath('../data/sessions'));

sony-santos at bol dot com dot br 16-Oct-2008 11:17


In response to 00 at f00n, this very page explains:



"(...) if N is used and greater than 0 then automatic garbage collection will not be performed (...)"



So you can actually use custom save_path with automatic garbage collection, since you don't use the subdirectory option (that N subdirectory levels).

00 at f00n dot com 25-Jun-2008 06:36


After having many problems with garbage collection not clearing my sessions I have resolved it through the following.



First I found this in the php.ini (not something i noticed as i use phpinfo(); to see my hosting ini).



; NOTE: If you are using the subdirectory option for storing session files

;       (see session.save_path above), then garbage collection does *not*

;       happen automatically.  You will need to do your own garbage



; collection through a shell script, cron entry, or some other method. ;       For example, the following script would is the equivalent of

;       setting session.gc_maxlifetime to 1440 (1440 seconds = 24 minutes):

;          cd /path/to/sessions; find -cmin +24 | xargs rm



With this is mind there are options.



1. dont use a custom save_path.

** This means if your isp hasnt defaulted your session temp to something safer than install default or you are using a shared directory for session data then you would be wise to use named sessions to keep your session from being viewable in other people's scripts.  Creating a unique_id name for this is the common method. **



2. use your custom folder but write a garbage collection script.



3. use a custom handler and a database

phpforcharity dot 5 dot pistos at geoshell dot com 24-Jun-2008 06:05


To get session IDs to show up in URIs, and not get stored via cookies, you must not only set session.use_cookies to 0, but also set session.use_trans_sid to 1.  Otherwise, the session ID goes neither in a cookie nor in URIs!

add a note