Detaillierte Erläuterung von Sitzungssperre, Parallelität und Abdeckung in PHP

Dieser Artikel führt Sie hauptsächlich in die Sperrung und Parallelität von PHP-Sitzungen ein. Zu den damit verbundenen Phänomenen gehören das Blockieren von Anforderungen, der Verlust von Sitzungsdaten und das Nicht-Lesen von Sitzungsdaten .

Ich kann mich nicht anmelden
Eines Tages wollte ich mich bei einem unserer Backend-Systeme anmelden, um einen Fehler zu beheben, und trat ein In diesem Fall kann ich mich nicht anmelden. Nach vielen Experimenten habe ich festgestellt, dass es zwei Hauptfehlermeldungen gibt:

• CSRF-Verifizierung fehlgeschlagen

• Der Bestätigungscode ist falsch [Ich schwöre bei den Codegöttern, dass ich den Bestätigungscode, den ich gesehen habe, mit halber Breite eingegeben habe, und in der gleichen Reihenfolge, ohne zusätzliche Zeichen]

Unser SystemUnser System wurde auf Basis von Phalcon 2.0 entwickelt .8. Wie Sie sehen können, haben wir im Formularfeld Domäne hinzugefügt, um CSRF-Angriffe zu verhindern. Captcha ist ebenfalls aktiviert.

<input type="hidden" 
  name="{{ security.getTokenKey() }}"
  value="{{ security.getToken() }}"/>
<img src="/login/getCaptcha" id="img-captcha"/>

Ich habe zuerst diese beiden Komponenten überprüft und festgestellt, dass beide Daten in der Sitzung speichern:

# phalcon/security.zep
# Security::getToken()
let session = <SessionInterface> dependencyInjector->getShared("session"); 
session->set(this->_tokenValueSessionID, token); 
$this->session->set(&#39;admin_get_captcha_action&#39;, $captcha);

Dann habe ich unsere Sitzungsimplementierung überprüft um Daten in Redis zu speichern.

Schauen und suchenWas ist das Problem, das mich daran hindert, mich einzuloggen? Da es ein Problem mit der Datenüberprüfung gibt, beginnen wir mit den Daten. Ich habe mich in unserer Testumgebung beim Redis-Computer angemeldet, den Redis-Cli-Monitor ausgeführt und dann den Anmeldevorgang durchlaufen und die Ausgabe wie folgt gefunden (Bedeutung):

• GET sessionId

• GET sessionId

• SETEX sessionId 3600 csrf=xxxx 🎜>

• Wir können sehen:

  1. Hier gibt es zwei Anfragen: Eine dient zum Laden des Formulars und die andere zum Generieren des Bestätigungscodes. 2. Es liegt eine „Parallelitätssituation“ vor. Diese beiden Anforderungen sollten den Bestätigungscode anfordern, nachdem das Formular geladen und gerendert wurde. Das heißt, die Sitzungssequenz sollte get->set->get->set sein . Es scheint, warum gibt es gleichzeitige Anfragen? 3. Letzteres SETEX hat keinen CSRF-Inhalt, was bedeutet, dass es die vorherigen Daten überschreibt. Die ganze Welt ist nicht gut, aber ich verstehe ein wenig, wo das Problem liegt. Was ist das Problem? Es ist eine lange Geschichte, angefangen beim Zugriff auf PHP-Sitzungsdaten.

Zugriff auf PHP-Sitzungsdaten

Die Sitzungsdaten werden in eine Zeichenfolge codiert und im Speicher [Datei, Datenbank, Redis, Memcache usw.] gespeichert Wir verwenden Sitzungen. Wann gehen wir zum Speicher, um Daten abzurufen? Wann werden die Daten in den Speicher geschrieben?

Die Antwort auf diese Frage unterscheidet sich möglicherweise von dem, was einige Freunde denken. Bei einer Anfrage liest PHP den Speicher nur einmal, wenn session_start, und schreibt dann nur einmal in den Speicher, wenn die Anfrage endet . oder wenn session_write_close aufgerufen wird, werden die Daten zurück in den Speicher geleert und die Sitzung geschlossen.

Dann lautet die Frage:

1、如果一个会话，同时出现两个读写session请求，没有保证获取1-写入1-获取2-写入2，同时没有cas版本管理机制的情况下，这些并发请求就会彼此读取不到对方的写入，最后写入的会把前面请求写入的session覆盖掉。
2、如果请求是串行的，像登录页面的表单和验证码，也有可能前面的请求已经输出内容了，但是session还没写入，后面的请求就已经发起了。
锁与不锁
解决这种资源的并发一般会通过锁或版本管理来处理。但是版本管理我看不到好的方法。就聊聊锁吧。

其实锁是不大适合，有弊端的。

php的session，默认是用文件存储的，在打开session的时候，会对文件加独占锁，这样，其它请求就无法获取锁了，只能等待直到前面的锁解了。

这样保证了 读取-写入，读取-写入的顺序。

其它存储器，例如mysql，可以借助select for update进行行锁。redis可以通过一个自增键，返回1的获取到锁等来实现。

这个实现的话，对数据流来说很理想，但是，对于目前这种页面大量应用ajax的情况，所有请求排队处理，将大大加大页面展现的耗时，甚至出现请求超时等不可用故障。

没有解决的解决不建议过多使用session，其一次读取一次写入的机制所引发的问题，会造成坑的存在。
在模版渲染前，或请求输出前调用session_write_close

# 立刻回写session,避免session覆盖
$eventManager = $this->view->getEventsManager();
if (!$eventManager) { 
  $eventManager = new Manager();
  $this->view->setEventsManager($eventManager);
}
$eventManager->attach("view:afterRender",function(){
  session_write_close();
});
return $this->view; 
if($login) { 
  # 立刻回写session,避免session读取不到
  $eventManager = $this->dispatcher->getEventsManager();
  if (!$eventManager) {
    $eventManager = new Manager();
    $this->dispatcher->setEventsManager($eventManager);
  }
  $eventManager->attach('dispatch:afterDispatchLoop',function(){
    session_write_close();
  });
  return $this->response->setHeader('Location', '/');
}

相关推荐：

php中session锁防止阻塞请求的实例分析

Das obige ist der detaillierte Inhalt vonDetaillierte Erläuterung von Sitzungssperre, Parallelität und Abdeckung in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!