《PHP編程:php session的鎖和并發(fā)》要點(diǎn):
本文介紹了PHP編程:php session的鎖和并發(fā),希望對(duì)您有用。如果有疑問,可以聯(lián)系我們。
本文分享PHP的session在使用過程中的鎖和并發(fā)的問題,與之相關(guān)的現(xiàn)象有哀求阻塞、session數(shù)據(jù)丟失、session數(shù)據(jù)讀不到.PHP應(yīng)用
我登錄不了了
某天,我準(zhǔn)備登錄我們一個(gè)后臺(tái)系統(tǒng),前去解決一個(gè)bug,在賬戶暗碼驗(yàn)證碼都準(zhǔn)確輸入的情況下,我登錄不上,經(jīng)過多次實(shí)驗(yàn)發(fā)現(xiàn)主要有兩個(gè)錯(cuò)誤信息:PHP應(yīng)用
我們的系統(tǒng)
我們的系統(tǒng)是基于phalcon 2.0.8 開發(fā)的,如你所見,我們?cè)诒韱斡蚣尤肓朔乐筩srf攻擊的域.也啟用了驗(yàn)證碼.PHP應(yīng)用
<input type="hidden"
name="{{ security.getTokenKey() }}"
value="{{ security.getToken() }}"/>
<img src="/login/getCaptcha" id="img-captcha"/>
我首先對(duì)這兩個(gè)組件進(jìn)行查閱,發(fā)現(xiàn)他們都是將數(shù)據(jù)存于session:PHP應(yīng)用
# phalcon/security.zep
# Security::getToken()
let session = <SessionInterface> dependencyInjector->getShared("session");
session->set(this->_tokenValueSessionID, token);
$this->session->set('admin_get_captcha_action', $captcha);
然后我又查閱了我們session的實(shí)現(xiàn),發(fā)現(xiàn)是將數(shù)據(jù)存儲(chǔ)于redis的.PHP應(yīng)用
找啊找
什么問題導(dǎo)致我登錄不上呢?既然是數(shù)據(jù)驗(yàn)證上出現(xiàn)問題,就從數(shù)據(jù)著手吧,我登陸我們測(cè)試環(huán)境的redis機(jī)器,執(zhí)行 redis-cli monitor,然后走一遍登錄流程,發(fā)現(xiàn)輸出如下(意思意思):PHP應(yīng)用
我們可以看到:PHP應(yīng)用
1、這里存在兩次哀求,一次是表單加載,一次是生成驗(yàn)證碼的.
2、存在“并發(fā)”的情況,這兩個(gè)哀求應(yīng)該是表單加載渲染后才哀求驗(yàn)證碼的,也就是session順序應(yīng)該是get->set->get->set,看起來(lái)怎么是并發(fā)哀求了.
3、后面那個(gè)SETEX沒有csrf的內(nèi)容,也就是覆蓋掉前面的數(shù)據(jù)了
整個(gè)世界都不好了,不過也稍微明白是什么問題了.什么問題呢,說來(lái)話長(zhǎng),要從PHP的session數(shù)據(jù)的存取說起.PHP應(yīng)用
php的session數(shù)據(jù)的存取
session的數(shù)據(jù)是經(jīng)過編碼成字符串存儲(chǔ)在存儲(chǔ)器【file、db、redis、memcache等】的,在我們使用session的時(shí)候,是什么時(shí)候去儲(chǔ)存器取數(shù)據(jù)的?又是什么時(shí)候?qū)?shù)據(jù)寫入存儲(chǔ)器的?PHP應(yīng)用
這個(gè)問題的答案可能和一些朋友想的不一樣,一個(gè)哀求里面,PHP只會(huì)讀取一次存儲(chǔ)器,在session_start的時(shí)候,然后也只會(huì)寫入一次存儲(chǔ)器,在哀求結(jié)束的時(shí)候,或調(diào)用session_write_close的時(shí)候,將數(shù)據(jù)刷回存儲(chǔ)器,關(guān)閉session.PHP應(yīng)用
那么問題來(lái)了:PHP應(yīng)用
1、如果一個(gè)會(huì)話,同時(shí)出現(xiàn)兩個(gè)讀寫session哀求,沒有保證獲取1-寫入1-獲取2-寫入2,同時(shí)沒有cas版本管理機(jī)制的情況下,這些并發(fā)哀求就會(huì)彼此讀取不到對(duì)方的寫入,最后寫入的會(huì)把前面哀求寫入的session覆蓋掉.
2、如果哀求是串行的,像登錄頁(yè)面的表單和驗(yàn)證碼,也有可能前面的哀求已經(jīng)輸出內(nèi)容了,但是session還沒寫入,后面的哀求就已經(jīng)發(fā)起了.
鎖與不鎖
解決這種資源的并發(fā)一般會(huì)通過鎖或版本管理來(lái)處理.但是版本管理我看不到好的方法.就聊聊鎖吧.PHP應(yīng)用
其實(shí)鎖是不大適合,有弊端的.PHP應(yīng)用
php的session,默認(rèn)是用文件存儲(chǔ)的,在打開session的時(shí)候,會(huì)對(duì)文件加獨(dú)占鎖,這樣,其它哀求就無(wú)法獲取鎖了,只能等待直到前面的鎖解了.PHP應(yīng)用
這樣保證了 讀取-寫入,讀取-寫入的順序.PHP應(yīng)用
其它存儲(chǔ)器,例如mysql,可以借助select for update進(jìn)行行鎖.redis可以通過一個(gè)自增鍵,返回1的獲取到鎖等來(lái)實(shí)現(xiàn).PHP應(yīng)用
這個(gè)實(shí)現(xiàn)的話,對(duì)數(shù)據(jù)流來(lái)說很理想,但是,對(duì)于目前這種頁(yè)面大量應(yīng)用ajax的情況,所有哀求排隊(duì)處理,將大大加大頁(yè)面展現(xiàn)的耗時(shí),甚至出現(xiàn)哀求超時(shí)等不可用故障.PHP應(yīng)用
沒有解決的解決
不建議過多使用session,其一次讀取一次寫入的機(jī)制所引發(fā)的問題,會(huì)造成坑的存在.
在模版渲染前,或哀求輸出前調(diào)用session_write_close
PHP應(yīng)用
# 立刻回寫session,避免session覆蓋
$eventManager = $this->view->getEventsManager();
if (!$eventManager) {
$eventManager = new Manager();
$this->view->setEventsManager($eventManager);
}
$eventManager->attach("view:afterRender",function(){
session_write_close();
});
return $this->view;
if($login) {
# 立刻回寫session,避免session讀取不到
$eventManager = $this->dispatcher->getEventsManager();
if (!$eventManager) {
$eventManager = new Manager();
$this->dispatcher->setEventsManager($eventManager);
}
$eventManager->attach('dispatch:afterDispatchLoop',function(){
session_write_close();
});
return $this->response->setHeader('Location', '/');
}
以上就是關(guān)于php session的鎖和并發(fā),希望對(duì)大家的學(xué)習(xí)有所贊助.PHP應(yīng)用
維易PHP培訓(xùn)學(xué)院每天發(fā)布《PHP編程:php session的鎖和并發(fā)》等實(shí)戰(zhàn)技能,PHP、MYSQL、LINUX、APP、JS,CSS全面培養(yǎng)人才。
轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址:
http://www.snjht.com/jiaocheng/7642.html
