php session的锁和并发


Posted in PHP onJanuary 22, 2016

本文分享PHP的session在使用过程中的锁和并发的问题,与之相关的现象有请求阻塞、session数据丢失、session数据读不到。

我登录不了了
某天,我准备登录我们一个后台系统,前去解决一个bug,在账户密码验证码都准确输入的情况下,我登录不上,经过多次实验发现主要有两个错误信息:

  • csrf验证失败
  • 验证码错误【我对码神起誓我用半角输入了我看到的验证码,且顺序一致,无多加字符】

我们的系统
我们的系统是基于phalcon 2.0.8 开发的,如你所见,我们在表单域加入了防止csrf攻击的域。也启用了验证码。

<input type="hidden" 
  name="{{ security.getTokenKey() }}"
  value="{{ security.getToken() }}"/>
<img src="/login/getCaptcha" id="img-captcha"/>

我首先对这两个组件进行查阅,发现他们都是将数据存于session:

# phalcon/security.zep
# Security::getToken()
let session = <SessionInterface> dependencyInjector->getShared("session"); 
session->set(this->_tokenValueSessionID, token); 
$this->session->set('admin_get_captcha_action', $captcha);

然后我又查阅了我们session的实现,发现是将数据存储于redis的。

找啊找
什么问题导致我登录不上呢?既然是数据验证上出现问题,就从数据着手吧,我登陆我们测试环境的redis机器,执行 redis-cli monitor,然后走一遍登录流程,发现输出如下(意思意思):

  • GET sessionId 
  • GET sessionId 
  • SETEX sessionId 3600 csrf=xxxx 
  • SETEX sessionId 3600 captcha=abcd 

我们可以看到:

1、这里存在两次请求,一次是表单加载,一次是生成验证码的。
2、存在“并发”的情况,这两个请求应该是表单加载渲染后才请求验证码的,也就是session顺序应该是get->set->get->set,看起来怎么是并发请求了。
3、后面那个SETEX没有csrf的内容,也就是覆盖掉前面的数据了
整个世界都不好了,不过也稍微明白是什么问题了。什么问题呢,说来话长,要从PHP的session数据的存取说起。

php的session数据的存取
session的数据是经过编码成字符串存储在存储器【file、db、redis、memcache等】的,在我们使用session的时候,是什么时候去储存器取数据的?又是什么时候将数据写入存储器的?

这个问题的答案可能和一些朋友想的不一样,一个请求里面,PHP只会读取一次存储器,在session_start的时候,然后也只会写入一次存储器,在请求结束的时候,或调用session_write_close的时候,将数据刷回存储器,关闭session。

那么问题来了:

1、如果一个会话,同时出现两个读写session请求,没有保证获取1-写入1-获取2-写入2,同时没有cas版本管理机制的情况下,这些并发请求就会彼此读取不到对方的写入,最后写入的会把前面请求写入的session覆盖掉。
2、如果请求是串行的,像登录页面的表单和验证码,也有可能前面的请求已经输出内容了,但是session还没写入,后面的请求就已经发起了。
锁与不锁
解决这种资源的并发一般会通过锁或版本管理来处理。但是版本管理我看不到好的方法。就聊聊锁吧。

其实锁是不大适合,有弊端的。

php的session,默认是用文件存储的,在打开session的时候,会对文件加独占锁,这样,其它请求就无法获取锁了,只能等待直到前面的锁解了。

这样保证了 读取-写入,读取-写入的顺序。

其它存储器,例如mysql,可以借助select for update进行行锁。redis可以通过一个自增键,返回1的获取到锁等来实现。

这个实现的话,对数据流来说很理想,但是,对于目前这种页面大量应用ajax的情况,所有请求排队处理,将大大加大页面展现的耗时,甚至出现请求超时等不可用故障。

没有解决的解决
不建议过多使用session,其一次读取一次写入的机制所引发的问题,会造成坑的存在。
在模版渲染前,或请求输出前调用session_write_close

# 立刻回写session,避免session覆盖
$eventManager = $this->view->getEventsManager();
if (!$eventManager) { 
  $eventManager = new Manager();
  $this->view->setEventsManager($eventManager);
}
$eventManager->attach("view:afterRender",function(){
  session_write_close();
});
return $this->view;
if($login) { 
  # 立刻回写session,避免session读取不到
  $eventManager = $this->dispatcher->getEventsManager();
  if (!$eventManager) {
    $eventManager = new Manager();
    $this->dispatcher->setEventsManager($eventManager);
  }
  $eventManager->attach('dispatch:afterDispatchLoop',function(){
    session_write_close();
  });
  return $this->response->setHeader('Location', '/');
}

以上就是关于php session的锁和并发,希望对大家的学习有所帮助。

PHP 相关文章推荐
PHP 中的一些经验积累
Oct 09 PHP
mysql_fetch_row,mysql_fetch_array,mysql_fetch_assoc的区别
Apr 24 PHP
来自phpguru得Php Cache类源码
Apr 15 PHP
PHP用GD库生成高质量的缩略图片
Mar 09 PHP
PHP eval函数使用介绍
Dec 08 PHP
PHP实现抓取Google IP并自动修改hosts文件
Feb 12 PHP
php mysqli查询语句返回值类型实例分析
Jun 29 PHP
PHP实现原生态图片上传封装类方法
Nov 08 PHP
Paypal实现循环扣款(订阅)功能
Mar 23 PHP
详解如何在云服务器上部署Laravel
Jun 30 PHP
微信开发之获取JSAPI TICKET
Jul 07 PHP
yii2.0整合阿里云oss上传单个文件的示例
Sep 19 PHP
php5.4传引用时报错问题分析
Jan 22 #PHP
php实现word转html的方法
Jan 22 #PHP
高质量PHP代码的50个实用技巧必备(上)
Jan 22 #PHP
php中namespace use用法实例分析
Jan 22 #PHP
PHP爬虫之百万级别知乎用户数据爬取与分析
Jan 22 #PHP
两种php实现图片上传的方法
Jan 22 #PHP
php+html5实现无刷新图片上传教程
Jan 22 #PHP
You might like
解决php使用异步调用获取数据时出现(错误c00ce56e导致此项操作无法完成)
2013/07/03 PHP
使用PHP下载CSS文件中的图片的代码
2013/09/24 PHP
完美解决thinkphp验证码出错无法显示的方法
2014/12/09 PHP
Jquery乱码的一次解决过程 图解教程
2010/02/20 Javascript
IE event.srcElement和FF event.target 功能比较
2010/03/01 Javascript
jQuery UI Dialog 创建友好的弹出对话框实现代码
2012/04/12 Javascript
jQuery中animate用法实例分析
2015/03/09 Javascript
jquery中toggle函数交替使用问题
2015/06/22 Javascript
纯JS代码实现一键分享功能
2016/04/20 Javascript
简单理解vue中track-by属性
2016/10/26 Javascript
关于bootstrap日期转化,bootstrap-editable的简单使用,bootstrap-fileinput的使用详解
2017/05/12 Javascript
jQuery Ajax使用FormData上传文件和其他数据后端web.py获取
2017/06/11 jQuery
angular4实现tab栏切换的方法示例
2017/10/21 Javascript
微信小程序学习笔记之表单提交与PHP后台数据交互处理图文详解
2019/03/28 Javascript
详解Vue.js中引入图片路径的几种方式
2019/06/17 Javascript
vue-cli2与vue-cli3在一台电脑共存的实现方法
2019/09/25 Javascript
vue利用全局导航守卫作登录后跳转到未登录前指定页面的实例代码
2020/05/19 Javascript
video.js添加自定义组件的方法
2020/12/09 Javascript
Python利用多进程将大量数据放入有限内存的教程
2015/04/01 Python
python reduce 函数使用详解
2017/12/05 Python
pandas求两个表格不相交的集合方法
2018/12/08 Python
python如何获取apk的packagename和activity
2020/01/10 Python
Python求两个字符串最长公共子序列代码实例
2020/03/05 Python
pytorch  网络参数 weight bias 初始化详解
2020/06/24 Python
Puritan’s Pride(普丽普莱)官方网站:美国最大最全的保健品公司之一
2016/10/23 全球购物
Spartoo美国:欧洲排名第一的在线时装零售商
2019/12/12 全球购物
环境科学专业大学生自荐信格式
2013/09/21 职场文书
总经理岗位职责描述
2014/02/08 职场文书
班级年度安全计划书
2014/05/01 职场文书
企业文化宣传标语
2014/06/09 职场文书
企业总经理助理岗位职责
2014/09/12 职场文书
2014年六五普法工作总结
2014/11/25 职场文书
保卫工作个人总结
2015/03/03 职场文书
Python Pandas数据分析之iloc和loc的用法详解
2021/11/11 Python
PO模式在selenium自动化测试框架的优势
2022/03/20 Python
TypeScript实用技巧 Nominal Typing名义类型详解
2022/09/23 Javascript