Użytkownikowi odwiedzającemu witrynę zostaje przyznany unikalny identyfikator zwany identyfikatorem sesji (session id). Jest on zapisywany w cookie i wysyłany do użytkownika lub umieszczany w URL'u.

Obsługa sesji umożliwia rejestrowanie wielu danych (zmiennych) pozyskiwanych z zapytań HTTP . Kiedy wizytujący odwiedza witrynę, PHP automatycznie (jeżeli session.auto_start ma wartość 1) lub gdy tego zażądasz (wywołując funkcję session_start() lub session_register()) sprawdza czy w zapytaniu został umieszczony identyfikator sesji. Jeśli jest, to poprzednie zmienne zostają zastąpione nowymi zawartymi w zapytaniu.

Wszystkie zarejestrowane zmienne są zapisywane w sesji. Zarejestrowane zmienne które nie zostały zdefiniowane są zaznaczane jako niezdefiniowane. Przy kolejnych odwiedzinach zmienne te utrzymują swoją wartość, chyba że użytkownik zdefiniuje inną wartość podczas kolejnych wizyt.

Opcje konfiguracji track_vars i gpc_globals mają wpływ na sposób przywracania zmiennych sesji. Jeśli włączona jest opcja track_vars, zmienne sesji po przywróceniu będą dostępne w globalnej tablicy $HTTP_STATE_VARS. Jeśli włączona jest opcja gpc_globals, zmienne po przywróceniu sesji będą dostępne jako zmienne globalne. Jeśli obie opcje są włączone, to zarówno zmienne globalne jak i tablica $HTTP_STATE_VARS zawierają te same wartości.

Istnieją dwie metody rozpowszechniania identyfikatora sesji:

Cookies
Parametr URL'a

Moduł sesji wspiera obydwie metody. Cookies to metoda optymalna, ale nie jest pewna (klient (przeglądarka) może nie akceptować cookie), więc nie możemy na niej polegać. Drugi sposób to umieszczanie identyfikatorów bezpośrednio w URL'ach. Metodę tę PHP obsługuje w sposób przezroczysty jeżeli zostało skompilowane z opcją --enable-trans-sid i zmienia każdy względny URI tak aby automatycznie zawierał identyfikator sesji. Względnie, możesz użyć stałego, wcześniej określonego SID, jeżeli klient nie przysłał poprawnego cookie (ważnego SID). SID ma postać session_name=session_id lub jest pustym łańcuchem znaków.

Poniższy przykład demonstruje rejestrowanie zmiennej i sposób stosowania SID'a w odnośniku.

Przykład 1. Zliczanie liczby odwiedzin dla pojedyńczego użytkownika

<?php

session_register("licznik");

$licznik++;

?>

Witaj, nasza witryne odwiedziles juz <? echo $licznik; ?> razy.<p>

<?
# <?=SID?> jest konieczny do przechowania identyfikatora sesji
# jeśli użytkownik nie używa cookies
?>

 Aby kontynuowac, <A HREF="nastepna.php?<?=SID?>">kliknij !</A>

Aby przechowywać sesje w bazie danych potrzebna będzie funkcja session_set_save_handler(). Aby używać wspomnianej funkcji do obsługi bazy MySql lub innej powinieneś rozbudować następujące funkcje.

Przykład 2. Użycie session_set_save_handler()

<?php

function open ($save_path, $session_name) {
    echo "open ($save_path, $session_name)\n";
    return true;
}

function close () {
    echo "close\n";
    return true;
}

function read ($key) {
    echo "write ($key, $val)\n";
    return "foo|i:1;";
}

function write ($key, $val) {
    echo "write ($key, $val)\n";
    return true;
}

function destroy ($key)
    return true;
}

function gc ($maxlifetime) {
    return true;
}

session_set_save_handler ("open", "close", "read", "write", "destroy", "gc");

session_start ();

$foo++;

?>

Powyższy przykład wygeneruje poniższe:

$ ./php save_handler.php
Content-Type: text/html
Set-cookie: PHPSESSID=f08b925af0ecb52bdd2de97d95cdbe6b

open (/tmp, PHPSESSID)
read (f08b925af0ecb52bdd2de97d95cdbe6b)
write (f08b925af0ecb52bdd2de97d95cdbe6b, foo|i:2;)
close

<?=SID?> nie jest konieczny, jeśli PHP zostało skompliowane z opcją --enable-trans-sid (włączony transparent session ID).

System zarządzania sesją jest konfigurowany wieloma opcjami umieszczonymi w php.ini. Oto ich krótki przegląd:

session.save_handler definiuje nazwę uchwytu, który będzie używany do zapisu i odczytu danych skojarzonych z sesją. Domyślnie są to pliki.
session.save_path definiuje argument, który jest przesyłany do uchwytu aby go zapisać. Jeśli wybierzesz domyślny uchwyt plikowy, argumentem jest ścieżka katalogu gdzie będą umieszczane pliki. Domyślnie /tmp.

session.name określa nazwę sesji, która jest użyta jako nazwa cookie. Nazwa powinna zawierać tylko znaki alfanumeryczne. Domyślnie PHPSESSID.

session.auto_start określa czy moduł sesji uruchamia automatycznie sesję w chwili nadejścia zapytania. Domyślnie 0 (wyłączone).

session.lifetime określa czas "życia" cookie (w sekundach) przesyłanej do przeglądarki. Wartość 0 oznacza "do zamknięcia okna przeglądarki". Domyślnie 0.

session.serialize_handler definiuje nazwę uchwytu, który jest używany do szeregowania danych. Obecnie wspierany jest wewnętrzny format PHP (nazwa: php) i WDDX (nazwa: wddx). WDDX jest dostępne tylko jeśli PHP jest skompilowane ze wsparciem dla WDDX. Domyślnie php.

session.gc_probability określa prawdopodobieństwo (w %), że procedury czyszczenia starych sesji (garbage collection) startują przy każdym zapytaniu. Domyślnie 1.

session.gc_maxlifetime określa liczbę sekund po których dane będą uznane jako "śmieci" i zostaną usunięte.

session.extern_referer_check określa czy identyfikatory sesji odebrane z zewnętrznych witryn mają być usunięte. Jeżeli identyfikatory sesji są umieszczane w URL, użytkownicy nie znający zasady działania tej metody, mogą nieświadomie rozpowszechniać swój session id, co prowadzi do problemów z bezpieczeństwem. Domyślnie 0 (wyłączone).
session.entropy_file zawiera ścieżkę do zewnętrznych zasobów (pliku), który będzie dodatkowo wykorzystywany w procesie tworzenia identyfikatora sesji. Przykłady: /dev/random lub /dev/urandom które są dostępne w systemach Unix.

session.entropy_length określa liczbę bajtów, które będą odczytywane z pliku określonego wyżej (session.entropy_file). Domyślnie 0 (wyłączone).

session.use_cookies określa, czy moduł sesji będzie używał cookie do zapisywania identyfikatora sesji po stronie klienta. Domyślnie 1 (włączone).

Uwaga: Obsługa sesji została dodana w PHP 4.0.

session_start

session_start - inicjuje sesję

Opis

bool session_start(void);

session_start() tworzy sesję (lub reasumuje wcześniejszą, bazując na identyfikatorze sesji przesłanym jako zmienna w zapytaniu GET lub w cookie).

Ta funkcja zawsze zwraca true.

Uwaga: Funkcja została dodana w PHP 4.0.

session_destroy

session_destroy - niszczy wszystkie dane zarejestrowane w sesji

Opis

bool session_destroy(void);

session_destroy() niszczy wszystkie dane należące do aktualnej sesji. Ta funkcja zawsze zwraca true.

Uwaga: Funkcja została dodana w PHP 4.0.

session_name

session_name - pobiera i/lub ustawia nazwę aktualnej sesji

Opis

string session_name(string [nazwa]);

session_name() zwraca nazwę bieżącej sesji. Jeżeli nazwa jest już określona, to nazwa bieżącej sesji jest zmieniana na tę wartość.

Nazwa sesji odpowiada identyfikatorowi sesji zamieszczonemu w cookies czy URL'u. Nazwa powinna zawierać tylko znaki alfanumeryczne; powinna być krótka i opisowa (np. dla użytkowników z włączonym powiadamianiem o nadejściu cookie). Nazwa sesji jest zmieniana na wartość domyślną zapisaną w session.name podczas startu zapytania. W ten sposób, musisz wywołać funkcję session_name() dla każdego zapytania (przed wywołaniem session_start() lub session_register()).

Przykład 1. Session_name()

<?php

# ustawia nazwę sesji na WebsiteID

$previous_name = session_name("WebsiteID");

echo "Poprzednia nazwa sesji to $previous_name<p>";

Uwaga: Funkcja została dodana w PHP 4.0.

session_module_name

session_module_name - pobiera i/lub ustawia bieżący moduł sesji

Opis

string session_module_name(string [moduł]);

session_module_name() zwraca nazwę aktualnego modułu sesji. Jeżeli moduł jest już określony, w jego miejsce używany jest moduł tu podany.

Uwaga: Funkcja została dodana w PHP 4.0.

session_save_path

session_save_path - pobiera i/lub ustawia ścieżkę zapisu aktualnej sesji

Opis

string session_save_path(string [ścieżka]);

session_save_path() zwraca ścieżkę do katalogu używanego do zapisu danych sesji. Jeżeli ścieżka jest już określona, zostaje zastąpiona ścieżką tu zdefiniowaną.

Uwaga: na niektórych systemach możesz podać ścieżkę do systemu plików, który lepiej obsługuje małe pliki, np. w Linuxie, system plików reiserfs może być bardziej wydajny niż zwykły ext2fs.

Uwaga: Funkcja została dodana w PHP 4.0.

session_id

session_id - pobiera i/lub ustawia aktualny identyfikator sesji

Opis

string session_id(string [id]);

session_id() zwraca identyfikator dla aktualnej sesji. Jeżeli id jest już określony, zostanie zastąpiony tu zdefiniowanym.

Uwaga: Funkcja została dodana w PHP 4.0.

session_register

session_register - rejestruje (zapisuje) jedną lub więcej zmiennych w bieżącej sesji

Opis

bool session_register(mixed name, mixed [...]);

session_register() rejestruje zmienną liczbę argumentów, z których każdy może zawierać nazwę zmiennej (nie samą zmienną) lub tablicę zawierającą nazwy zmiennych lub inne tablice . Dla każdej zmiennej, session_register() rejestruje (zapisuje) nazwę zmiennej w bieżącej sesji.

Funkcja zwraca true jeśli zmienna zostanie pomyślnie zarejestrowana w sesji (np. zapisana w pliku sesji).