php session的锁和并发


Posted in PHP onJanuary 22, 2016

本文分享PHP的session在使用过程中的锁和并发的问题,与之相关的现象有请求阻塞、session数据丢失、session数据读不到。

我登录不了了
某天,我准备登录我们一个后台系统,前去解决一个bug,在账户密码验证码都准确输入的情况下,我登录不上,经过多次实验发现主要有两个错误信息:

  • csrf验证失败
  • 验证码错误【我对码神起誓我用半角输入了我看到的验证码,且顺序一致,无多加字符】

我们的系统
我们的系统是基于phalcon 2.0.8 开发的,如你所见,我们在表单域加入了防止csrf攻击的域。也启用了验证码。

<input type="hidden" 
  name="{{ security.getTokenKey() }}"
  value="{{ security.getToken() }}"/>
<img src="/login/getCaptcha" id="img-captcha"/>

我首先对这两个组件进行查阅,发现他们都是将数据存于session:

# phalcon/security.zep
# Security::getToken()
let session = <SessionInterface> dependencyInjector->getShared("session"); 
session->set(this->_tokenValueSessionID, token); 
$this->session->set('admin_get_captcha_action', $captcha);

然后我又查阅了我们session的实现,发现是将数据存储于redis的。

找啊找
什么问题导致我登录不上呢?既然是数据验证上出现问题,就从数据着手吧,我登陆我们测试环境的redis机器,执行 redis-cli monitor,然后走一遍登录流程,发现输出如下(意思意思):

  • GET sessionId 
  • GET sessionId 
  • SETEX sessionId 3600 csrf=xxxx 
  • SETEX sessionId 3600 captcha=abcd 

我们可以看到:

1、这里存在两次请求,一次是表单加载,一次是生成验证码的。
2、存在“并发”的情况,这两个请求应该是表单加载渲染后才请求验证码的,也就是session顺序应该是get->set->get->set,看起来怎么是并发请求了。
3、后面那个SETEX没有csrf的内容,也就是覆盖掉前面的数据了
整个世界都不好了,不过也稍微明白是什么问题了。什么问题呢,说来话长,要从PHP的session数据的存取说起。

php的session数据的存取
session的数据是经过编码成字符串存储在存储器【file、db、redis、memcache等】的,在我们使用session的时候,是什么时候去储存器取数据的?又是什么时候将数据写入存储器的?

这个问题的答案可能和一些朋友想的不一样,一个请求里面,PHP只会读取一次存储器,在session_start的时候,然后也只会写入一次存储器,在请求结束的时候,或调用session_write_close的时候,将数据刷回存储器,关闭session。

那么问题来了:

1、如果一个会话,同时出现两个读写session请求,没有保证获取1-写入1-获取2-写入2,同时没有cas版本管理机制的情况下,这些并发请求就会彼此读取不到对方的写入,最后写入的会把前面请求写入的session覆盖掉。
2、如果请求是串行的,像登录页面的表单和验证码,也有可能前面的请求已经输出内容了,但是session还没写入,后面的请求就已经发起了。
锁与不锁
解决这种资源的并发一般会通过锁或版本管理来处理。但是版本管理我看不到好的方法。就聊聊锁吧。

其实锁是不大适合,有弊端的。

php的session,默认是用文件存储的,在打开session的时候,会对文件加独占锁,这样,其它请求就无法获取锁了,只能等待直到前面的锁解了。

这样保证了 读取-写入,读取-写入的顺序。

其它存储器,例如mysql,可以借助select for update进行行锁。redis可以通过一个自增键,返回1的获取到锁等来实现。

这个实现的话,对数据流来说很理想,但是,对于目前这种页面大量应用ajax的情况,所有请求排队处理,将大大加大页面展现的耗时,甚至出现请求超时等不可用故障。

没有解决的解决
不建议过多使用session,其一次读取一次写入的机制所引发的问题,会造成坑的存在。
在模版渲染前,或请求输出前调用session_write_close

# 立刻回写session,避免session覆盖
$eventManager = $this->view->getEventsManager();
if (!$eventManager) { 
  $eventManager = new Manager();
  $this->view->setEventsManager($eventManager);
}
$eventManager->attach("view:afterRender",function(){
  session_write_close();
});
return $this->view;
if($login) { 
  # 立刻回写session,避免session读取不到
  $eventManager = $this->dispatcher->getEventsManager();
  if (!$eventManager) {
    $eventManager = new Manager();
    $this->dispatcher->setEventsManager($eventManager);
  }
  $eventManager->attach('dispatch:afterDispatchLoop',function(){
    session_write_close();
  });
  return $this->response->setHeader('Location', '/');
}

以上就是关于php session的锁和并发,希望对大家的学习有所帮助。

PHP 相关文章推荐
php 文件状态缓存带来的问题
Dec 14 PHP
php学习笔记 类的声明与对象实例化
Jun 13 PHP
php 删除目录下N分钟前创建的所有文件的实现代码
Aug 10 PHP
PHP语法自动检查的Vim插件
Aug 11 PHP
php基于mcrypt的加密解密实例
Oct 27 PHP
php插入排序法实现数组排序实例
Feb 16 PHP
3种方法轻松处理php开发中emoji表情的问题
Jul 18 PHP
PHP中ID设置自增后不连续的原因分析及解决办法
Aug 21 PHP
thinkPHP交易详情查询功能详解
Dec 02 PHP
详解PHP中的 input属性(隐藏 只读 限制)
Aug 14 PHP
Laravel 手动开关 Eloquent 修改器的操作方法
Dec 30 PHP
PHP实现文件上传后台处理脚本
Mar 04 PHP
php5.4传引用时报错问题分析
Jan 22 #PHP
php实现word转html的方法
Jan 22 #PHP
高质量PHP代码的50个实用技巧必备(上)
Jan 22 #PHP
php中namespace use用法实例分析
Jan 22 #PHP
PHP爬虫之百万级别知乎用户数据爬取与分析
Jan 22 #PHP
两种php实现图片上传的方法
Jan 22 #PHP
php+html5实现无刷新图片上传教程
Jan 22 #PHP
You might like
PHP个人网站架设连环讲(四)
2006/10/09 PHP
PHP 的几个配置文件函数
2006/12/21 PHP
检查用户名是否已在mysql中存在的php写法
2014/01/20 PHP
php 利用array_slice函数获取随机数组或前几条数据
2015/09/30 PHP
老生常谈PHP面向对象之标识映射
2017/06/21 PHP
用JQuery 实现的自定义对话框
2007/03/24 Javascript
动态表格Table类的实现
2009/08/26 Javascript
JavaScript Cookie的读取和写入函数
2009/12/08 Javascript
JavaScript 验证码的实例代码(附效果图)
2013/03/22 Javascript
谈谈我对JavaScript DOM事件的理解
2015/12/18 Javascript
CSS或者JS实现鼠标悬停显示另一元素
2016/01/22 Javascript
原生JavaScript编写canvas版的连连看游戏
2016/05/29 Javascript
BootStrap+Angularjs+NgDialog实现模式对话框
2016/08/24 Javascript
vue父子组件的数据传递示例
2017/03/07 Javascript
AngularJS实现的省市二级联动功能示例【可对选项实现增删】
2017/10/26 Javascript
详解webpack与SPA实践之开发环境搭建
2017/12/18 Javascript
Python操作列表的常用方法分享
2014/02/13 Python
总结python爬虫抓站的实用技巧
2016/08/09 Python
Python PyQt5实现的简易计算器功能示例
2017/08/23 Python
使用python和pygame绘制繁花曲线的方法
2018/02/24 Python
浅析Python函数式编程
2018/10/06 Python
python使用turtle绘制国际象棋棋盘
2019/05/23 Python
python导包的几种方法(自定义包的生成以及导入详解)
2019/07/15 Python
Python API自动化框架总结
2019/11/12 Python
Python远程开发环境部署与调试过程图解
2019/12/09 Python
Python3连接Mysql8.0遇到的问题及处理步骤
2020/02/17 Python
Python自动化测试笔试面试题精选
2020/03/12 Python
五分钟学会怎么用python做一个简单的贪吃蛇
2021/01/12 Python
GNC健安喜官方海外旗舰店:美国著名保健品牌
2017/01/04 全球购物
小天鹅官方商城:LittleSwan
2017/06/16 全球购物
斯凯奇新西兰官网:SKECHERS新西兰
2018/02/22 全球购物
请问如下代码执行后a和b的值分别是什么
2016/05/05 面试题
Prototype如何更新局部页面
2013/03/03 面试题
社区先进事迹材料
2014/05/19 职场文书
校车司机安全责任书
2015/05/11 职场文书
win10+RTX3050ti+TensorFlow+cudn+cudnn配置深度学习环境的方法
2022/06/25 Servers