首先說一下session的創建的開始到結束的過程。
當程序需要為某個客戶端的請求創建一個 session 的時候，服務器首先會檢查這個客戶端是否已經包含了一個 session 標識，這個我們稱為 session id（獲取方法為 session_id() ），如果已包含一個 session id 則說明此客戶端之前已經創建過 session，服務器則按照 session id 把這個 session 中的值檢索出來，如果客戶端不包含 session id，說明此客戶端第一次請求服務器或手動清除過緩存文件，則為此客戶端創建一個 session 并且生成一個與此 session 相關聯的 session id，一般來說，session id 的值是不會重復的，并且加密的字符串，這個 session id 將被在本次響應中返回給客戶端保存。
session 在何時被創建 ？
通常（是指通常）是在瀏覽器向服務器端第一次請求時被創建，并且它會占用一定的內存空間，因此在不必要的情況下，盡最關閉 session 。
session 何時被刪除 ？
通常情況下，session 在會在這幾種情況下被刪除：
一是使用 session_destroy() 重置函數手動刪除；
二是 session 的上次活動時間距離當前時間的間隔超過了 session 的超時設置的時間；三是服務器進程被停止。
怎么在瀏覽器關閉時刪除 session ？
理論上來說，是做不到這一點，http是一種無狀態協議，因此服務器不知道客戶端什么時候關掉的瀏覽器，并且PHP也沒有一個關相的函數來獲取此項信息，但這個問題還可以得到解決，就是使用 網頁特效 代碼 window.oncolose 來監視瀏覽器的關閉動作，然后用Ajax向服務器端發送一個請求來刪除 session ，但這個辦法也并不會完全解決問題，原因是在有些情況下比如瀏覽器崩潰、突然斷電、用戶死機等這些時候并不能作出反應。
如何設置使session在一段時間過后自動失效（刪除）？
session_start()是session機制的開始，它有一定概率開啟垃圾回收,因為session是存放在文件中，PHP自身的垃圾回收是無效的，SESSION的回收（刪除）是要刪文件的，這個概率是根據php.ini的配置決定的，但是有的系統是 session.gc_probability = 0，這也就是說概率是0，而是通過cron腳本來實現垃圾回收（即刪除session）。
PHP中的session有效期默認是1440秒（24分鐘，注：php5里默認的是180分】，也就是說，客戶端超過24分鐘沒有刷新，當前session就會失效。很明顯，這是不能滿足需要的。
一個已知管用的方法是，使用session_set_save_handler，接管所有的session管理工作，一般是把session信息存儲到數據庫，這樣可以通過SQL語句來刪除所有過期的session，精確地控制session的有效期。這也是基于PHP的大型網站常用的方法。但是，一般的小型網站，似乎沒有必要這么勞師動眾。
但是一般的Session的生命期有限，如果用戶關閉了瀏覽器，就不能保存Session的變量了！那么怎么樣可以實現Session的永久生命期呢？
大家知道，Session儲存在服務器端，根據客戶端提供的SessionID來得到這個用戶的文件，然后讀取文件，取得變量的值，SessionID可以使用客戶端的Cookie或者Http1.1協議的Query_String（就是訪問的URL的“?”后面的部分）來傳送給服務器，然后服務器讀取Session的目錄。
要實現Session的永久生命期，首先需要了解一下php.ini關于Session的相關設置（打開php.ini文件，在“[Session]”部分）：

1、session.use_cookies：默認的值是“1”，代表SessionID使用Cookie來傳遞，反之就是使用Query_String來傳遞；
2、session.name：這個就是SessionID儲存的變量名稱，可能是Cookie，也可能是Query_String來傳遞，默認值是“PHPSESSID”；
3、session.cookie_lifetime：這個代表SessionID在客戶端Cookie儲存的時間，默認是0，代表瀏覽器一關閉SessionID就作廢……就是因為這個所以Session不能永久使用！
4、session.gc_maxlifetime：這個是Session數據在服務器端儲存的時間，如果超過這個時間，那么Session數據就自動刪除！
還有很多的設置，不過和本文相關的就是這些了，下面說下如何使用永久Session的原理和步驟。
前面說過，服務器通過SessionID來讀取Session的數據，但是一般瀏覽器傳送的SessionID在瀏覽器關閉后就沒有了，那么我們只需要人為的設置SessionID并且保存下來，不就可以了。如果你擁有服務器的操作權限，那么設置這個非常非常的簡單，只是需要進行如下的步驟：
1、把“session.use_cookies”設置為1，打開Cookie儲存SessionID，不過默認就是1，一般不用修改；
2、把“session.cookie_lifetime”改為正無窮（當然沒有正無窮的參數，不過999999999和正無窮也沒有什么區別）;
3、把“session.gc_maxlifetime”設置為和“session.cookie_lifetime”一樣的時間；
在PHP的文檔中明確指出，設定session有效期的參數是session.gc_maxlifetime。可以在php.ini文件中，或者通過ini_set()函數來修改這一參數。問題在于，經過多次測試，修改這個參數基本不起作用，session有效期仍然保持24分鐘的默認值。
由于PHP的工作機制，它并沒有一個daemon線程，來定時地掃描session信息并判斷其是否失效。當一個有效請求發生時，PHP會根據全局變量session.gc_probability/session.gc_divisor（同樣可以通過php.ini或者ini_set()函數來修改）的值，來決定是否啟動一個GC（Garbage Collector）。
默認情況下，session.gc_probability ＝ 1，session.gc_divisor ＝100，也就是說有1%的可能性會啟動GC。GC的工作，就是掃描所有的session信息，用當前時間減去session的最后修改時間（modified date），同session.gc_maxlifetime參數進行比較，如果生存時間已經超過gc_maxlifetime，就把該session刪除。
到此為止，工作一切正常。那為什么會發生gc_maxlifetime無效的情況呢？
在默認情況下，session信息會以文本文件的形式，被保存在系統的臨時文件目錄中。在Linux下，這一路徑通常為/tmp，在Windows下通常為C:/Windows/Temp。當服務器上有多個PHP應用時，它們會把自己的session文件都保存在同一個目錄中。同樣地，這些PHP應用也會按一定機率啟動GC，掃描所有的session文件。
問題在于，GC在工作時，并不會區分不同站點的session。舉例言之，站點A的gc_maxlifetime設置為2小時，站點B的gc_maxlifetime設置為默認的24分鐘。當站點B的GC啟動時，它會掃描公用的臨時文件目錄，把所有超過24分鐘的session文件全部刪除掉，而不管它們來自于站點A或B。這樣，站點A的gc_maxlifetime設置就形同虛設了。
找到問題所在，解決起來就很簡單了。修改session.save_path參數，或者使用session_save_path()函數，把保存session的目錄指向一個專用的目錄，gc_maxlifetime參數工作正常了。
嚴格地來說，這算是PHP的一個bug？
還有一個問題就是，gc_maxlifetime只能保證session生存的最短時間，并不能夠保存在超過這一時間之后session信息立即會得到刪除。因為GC是按機率啟動的，可能在某一個長時間內都沒有被啟動，那么大量的session在超過gc_maxlifetime以后仍然會有效。
解決這個問題的一個方法是，把session.gc_probability/session.gc_divisor的機率提高，如果提到100%，就會徹底解決這個問題，但顯然會對性能造成嚴重的影響。另一個方法是自己在代碼中判斷當前session的生存時間，如果超出了 gc_maxlifetime，就清空當前session。
但是如果你沒有服務器的操作權限，那就比較麻煩了，你需要通過PHP程序改寫SessionID來實現永久的Session數據保存。查查php.net的函數手冊，可以見到有“session_id”這個函數：如果沒有設置參數，那么將返回當前的SessionID，如果設置了參數，就會將當前的SessionID設置為給出的值。
只要利用永久性的Cookie加上“session_id”函數，就可以實現永久Session數據保存了！
但是為了方便，我們需要知道服務器設置的“session.name”，但是一般用戶都沒有權限查看服務器的php.ini設置，不過PHP提供了一個非常好的函數“phpinfo”，利用這個可以查看幾乎所有的PHP信息！