php session的锁和并发


Posted in PHP onJanuary 22, 2016

本文分享PHP的session在使用过程中的锁和并发的问题,与之相关的现象有请求阻塞、session数据丢失、session数据读不到。

我登录不了了
某天,我准备登录我们一个后台系统,前去解决一个bug,在账户密码验证码都准确输入的情况下,我登录不上,经过多次实验发现主要有两个错误信息:

  • csrf验证失败
  • 验证码错误【我对码神起誓我用半角输入了我看到的验证码,且顺序一致,无多加字符】

我们的系统
我们的系统是基于phalcon 2.0.8 开发的,如你所见,我们在表单域加入了防止csrf攻击的域。也启用了验证码。

<input type="hidden" 
  name="{{ security.getTokenKey() }}"
  value="{{ security.getToken() }}"/>
<img src="/login/getCaptcha" id="img-captcha"/>

我首先对这两个组件进行查阅,发现他们都是将数据存于session:

# phalcon/security.zep
# Security::getToken()
let session = <SessionInterface> dependencyInjector->getShared("session"); 
session->set(this->_tokenValueSessionID, token); 
$this->session->set('admin_get_captcha_action', $captcha);

然后我又查阅了我们session的实现,发现是将数据存储于redis的。

找啊找
什么问题导致我登录不上呢?既然是数据验证上出现问题,就从数据着手吧,我登陆我们测试环境的redis机器,执行 redis-cli monitor,然后走一遍登录流程,发现输出如下(意思意思):

  • GET sessionId 
  • GET sessionId 
  • SETEX sessionId 3600 csrf=xxxx 
  • SETEX sessionId 3600 captcha=abcd 

我们可以看到:

1、这里存在两次请求,一次是表单加载,一次是生成验证码的。
2、存在“并发”的情况,这两个请求应该是表单加载渲染后才请求验证码的,也就是session顺序应该是get->set->get->set,看起来怎么是并发请求了。
3、后面那个SETEX没有csrf的内容,也就是覆盖掉前面的数据了
整个世界都不好了,不过也稍微明白是什么问题了。什么问题呢,说来话长,要从PHP的session数据的存取说起。

php的session数据的存取
session的数据是经过编码成字符串存储在存储器【file、db、redis、memcache等】的,在我们使用session的时候,是什么时候去储存器取数据的?又是什么时候将数据写入存储器的?

这个问题的答案可能和一些朋友想的不一样,一个请求里面,PHP只会读取一次存储器,在session_start的时候,然后也只会写入一次存储器,在请求结束的时候,或调用session_write_close的时候,将数据刷回存储器,关闭session。

那么问题来了:

1、如果一个会话,同时出现两个读写session请求,没有保证获取1-写入1-获取2-写入2,同时没有cas版本管理机制的情况下,这些并发请求就会彼此读取不到对方的写入,最后写入的会把前面请求写入的session覆盖掉。
2、如果请求是串行的,像登录页面的表单和验证码,也有可能前面的请求已经输出内容了,但是session还没写入,后面的请求就已经发起了。
锁与不锁
解决这种资源的并发一般会通过锁或版本管理来处理。但是版本管理我看不到好的方法。就聊聊锁吧。

其实锁是不大适合,有弊端的。

php的session,默认是用文件存储的,在打开session的时候,会对文件加独占锁,这样,其它请求就无法获取锁了,只能等待直到前面的锁解了。

这样保证了 读取-写入,读取-写入的顺序。

其它存储器,例如mysql,可以借助select for update进行行锁。redis可以通过一个自增键,返回1的获取到锁等来实现。

这个实现的话,对数据流来说很理想,但是,对于目前这种页面大量应用ajax的情况,所有请求排队处理,将大大加大页面展现的耗时,甚至出现请求超时等不可用故障。

没有解决的解决
不建议过多使用session,其一次读取一次写入的机制所引发的问题,会造成坑的存在。
在模版渲染前,或请求输出前调用session_write_close

# 立刻回写session,避免session覆盖
$eventManager = $this->view->getEventsManager();
if (!$eventManager) { 
  $eventManager = new Manager();
  $this->view->setEventsManager($eventManager);
}
$eventManager->attach("view:afterRender",function(){
  session_write_close();
});
return $this->view;
if($login) { 
  # 立刻回写session,避免session读取不到
  $eventManager = $this->dispatcher->getEventsManager();
  if (!$eventManager) {
    $eventManager = new Manager();
    $this->dispatcher->setEventsManager($eventManager);
  }
  $eventManager->attach('dispatch:afterDispatchLoop',function(){
    session_write_close();
  });
  return $this->response->setHeader('Location', '/');
}

以上就是关于php session的锁和并发,希望对大家的学习有所帮助。

PHP 相关文章推荐
php.ini 中文版
Oct 28 PHP
php配置php-fpm启动参数及配置详解
Nov 04 PHP
50个PHP程序性能优化的方法
Jun 02 PHP
php实现MySQL数据库备份与还原类实例
Dec 09 PHP
PHP里8个鲜为人知的安全函数分析
Dec 09 PHP
php接口数据加密、解密、验证签名
Mar 12 PHP
PHP的pcntl多进程用法实例
Mar 19 PHP
PHP register_shutdown_function()函数的使用示例
Jun 23 PHP
PHP技术开发微信公众平台
Jul 22 PHP
Yii框架结合sphinx,Ajax实现搜索分页功能示例
Oct 18 PHP
thinkPHP实现基于ajax的评论回复功能
Jun 22 PHP
微信公众号实现扫码获取微信用户信息(网页授权)
Apr 09 PHP
php5.4传引用时报错问题分析
Jan 22 #PHP
php实现word转html的方法
Jan 22 #PHP
高质量PHP代码的50个实用技巧必备(上)
Jan 22 #PHP
php中namespace use用法实例分析
Jan 22 #PHP
PHP爬虫之百万级别知乎用户数据爬取与分析
Jan 22 #PHP
两种php实现图片上传的方法
Jan 22 #PHP
php+html5实现无刷新图片上传教程
Jan 22 #PHP
You might like
PHP中单引号与双引号的区别分析
2014/08/19 PHP
php中使用session防止用户非法登录后台的方法
2015/01/27 PHP
php 实现一个字符串加密解密的函数实例代码
2016/11/01 PHP
源码分析 Laravel 重复执行同一个队列任务的原因
2017/12/25 PHP
Laravel框架路由和控制器的绑定操作方法
2018/06/12 PHP
javascript实现仿银行密码输入框效果的代码
2007/12/13 Javascript
JavaScript 内置对象属性及方法集合
2010/07/04 Javascript
理解Javascript_09_Function与Object
2010/10/16 Javascript
Jquery UI震动效果实现原理及步骤
2013/02/04 Javascript
js实现的标题栏新消息闪烁提示效果
2014/06/06 Javascript
javascript实现的图片切割多块效果实例
2015/05/07 Javascript
Bootstrap框架实现广告轮播效果
2016/11/28 Javascript
Bootstrap的class样式小结
2016/12/01 Javascript
原生javascript上传图片带进度条【实例分享】
2017/04/06 Javascript
微信小程序页面传值实例分析
2017/04/19 Javascript
vue跨域解决方法
2017/10/15 Javascript
PHP自动加载autoload和命名空间的应用小结
2017/12/01 Javascript
vue在手机中通过本机IP地址访问webApp的方法
2018/08/15 Javascript
Vue组件Draggable实现拖拽功能
2018/12/01 Javascript
微信小程序获取用户绑定手机号方法示例
2019/07/21 Javascript
Vue打包后访问静态资源路径问题
2019/11/08 Javascript
微信小程序实现签到弹窗动画
2020/09/21 Javascript
Python中工作日类库Busines Holiday的介绍与使用
2017/07/06 Python
python多线程调用exit无法退出的解决方法
2019/02/18 Python
Python中print函数简单使用总结
2019/08/05 Python
PyQt 图解Qt Designer工具的使用方法
2019/08/06 Python
Python 通过截图匹配原图中的位置(opencv)实例
2019/08/27 Python
Python错误的处理方法
2020/06/23 Python
李维斯法国官网:Levi’s法国
2019/07/13 全球购物
欧洲最大的预定车位市场:JustPark
2020/01/06 全球购物
金融专业毕业生推荐信
2013/11/26 职场文书
防汛工作情况汇报
2014/10/28 职场文书
学习群众路线的心得体会
2014/11/05 职场文书
餐饮店长岗位职责
2015/04/14 职场文书
Java Kafka 消费积压监控的示例代码
2021/07/01 Java/Android
redis的list数据类型相关命令介绍及使用
2022/01/18 Redis