调试易

session.cookie_lifetime如果真的要安全：
session.use_cookies = 0
（默认是 1，会在客户端保存 cookie）

session消失,php.ini里session默认消失是24分钟,你也可一自己改
session.gc_maxlifetime = 1440

up，多半是修改session时间值了

这样可以达到效果么？
我要的是：
1，用户关掉浏览器,session消失
2，用户半小时不访问本站

我的做法:建立一个表专门管理在线信息,用IP来判断同一用户
UserOnline('user','IP','LastTime');在每一页中include一个检测的页面
如果$timenow = time()比上一次的时间LastTime超过半小时,就delete这条记录;如果不超过,就把LastTime设为Timenow.同时,如果同一IP在访问任一页面时,如果useronline这张表里没有他的IP的记录,就把它当做guest,用session注册.这样就实现了自动掉线的功能.

赞同设置session过期时间。
to  zhangyanan2000:有两个问题：
1。通过IP判断有弊端，如来自一个LAN的不同用户，如何处理？
2。如果网站访问量稍大，数据库的负担回很重

如果用户仍在线，而session的时间又到了呢？
谁知道这个问题呀？

1。是呀，如果用在10:00登录，session是半个小时到期，而10:30时用户仍在线，那不是等于被踢了么？？？？
2。再比如如果用户在10:10就下线了呢？如果页面关掉了还好，如果有的页面没有关掉呢？像在网吧这样的地方，其他人不是可以冒充他呀？？？？请各位高手给我上这一课。

1。是呀，如果用在10:00登录，session是半个小时到期，而10:30时用户仍在线，那不是等于被踢了么？？？？
2。再比如如果用户在10:10就下线了呢？如果页面关掉了还好，如果有的页面没有关掉呢？像在网吧这样的地方，其他人不是可以冒充他呀？？？？答1：session是半个小时，说的是他在半个小时内没有和网站做任何交互。比如点击页面。如果他动一下就会重新开始计时半小时。很少有谁打开页面，光看，半小时不动吧？
答2：只要把所有页面都关了，session自然消失，如果没有关，走了，半小时内有人黑他，只能说他倒霉。

session.gc_maxlifetime = 200
我试了一下，过了远不指三分钟，竟然还有效！仍然在线，没有被踢出系统！！