セッションについて

A1 恐らくはIEでの動作を言っていると思いますので、それを前提に。 session_start()の前に、session_cache_expire()関数などでセッションの有効時間を設定した場合にC:\Documents and Settings\AAA\Cookiesのようなクライアントサイドのフォルダにクッキーデータが作成されます。 これは Set-Cookie: PHPSESSID=**********・・・・ のようにヘッダーに書き出され、クッキーとしてセッションIDが渡されます。 当然クッキーなので、ファイルの中にはPHPSESSID=*******************のようなセッションIDが記憶されます。 セッションの有効時間が設定されない場合セッションIDはメモリ上に格納され、クライアントサイドにはクッキーファイルは作成されません。 ブラウザを閉じた時点でメモリからデータが消されるため、セッションが切れると言う状態になります。 A2 上記のような理由でクライアントサイドで自動的に破棄されます。 A3 セッションIDは毎回異なるセッションIDと考えていいと思います。

A1 セッションIDはクライアント側に保存されます。通常はcookieが使われます。 cookieを使わない場合は、 <a href="nextpage.php?PHPSESSID=xxxxxx">次へ</a> もしくは、 <input type="hidden" name="PHPSESSID" value="xxxxxx"> のようにHTMLにセッションIDを埋め込んでやることで、クライアントに保存します。 サーバ側では、GET or POST or cookieでクライアントから送られてくるセッションIDを元に、ユーザの同一性を確認します。 クライアントのIPアドレスは無関係です。違うユーザが同一IPアドレスでアクセスする状況や、同じユーザが毎回違うIPアドレスでアクセスする状況もあるので、IPアドレスはユーザの識別には使用できません。 A2 ＃cookieを使う前提で。 初期設定では、セッションID保存用のcookieは、expires属性無しで発行されます（このへんは、session.cookie_lifetimeで設定します）。 cookieはexpires属性無しで発行すると、ブラウザを終了した時点で、クライアントから消えてしまいます。expires属性ありで発行したcookieは、クライアントのハードディスク（C:\Documents and Settings\AAA\Cookies）に保存され、ブラウザ終了によって消えることはありません。 ただし、セッションID用のcookieをexpires属性無しで発行し、ブラウザを終了したとしても、その時点ではサーバ側の情報は削除されません（サーバ側では、ユーザがブラウザを閉じたことを知ることができないため）。 3A ＃cookieを使う前提で。 できます。逆に、expires属性無しでセッションID用のcookieを発行した場合、ブラウザ終了後に再アクセスしたユーザに、さきほどアクセスした際のものと同一のセッションIDを割り当てることはできません。

A1.セッションはサーバ側で保持されるものでありクライアント側には何も保持されません。 そのためサーバにはCookie以上に負荷がかかりますがクライアント側での一切の改変が行えないためセキュリティーが強力です。 A2.サーバがクライアントとの一連の接続がセッションです。 そのため接続が切れればセッションは破棄されます。 ブラウザを閉じなくてもネットワークの障害による切断 クライアント側での意図的な切断 無通信が一定期間続いた場合のサーバ側でタイムアウト処理 等の理由で破棄されます。 A3.A2のとおり一連の接続の事ですので接続が切れれば繋ぎ直したときにはもはや別の接続となりますので別のセッションです。 その性質から(メンテナンスの都合上現実性はありませんが)接続を何年も保持すれば何年後でも同じ名前であり続ける事ができます。