老旧话题:重新看看PHP的session

这基本上算是个老旧的话题了,几乎所有phper在第一次面试的时候都会被问到关于session的问题,如果不出意外,往往是如下三板斧:

  • php的session是什么东西
  • php的session存在什么地方、时候过期
  • php的session和cookie有什么区别

这三个问题堪称是关于php session三大基础问题了,要是掌握不好,直接导致面试挂掉,令人唏嘘不已。

就以上三个问题简单回顾一下:

第一个:session翻译成中文,大抵就是会话。我们知道http协议是一个无状态的协议,用极为粗暴的土话表示无状态就是说“你压根不知道这个http请求是哪个犊子发起的”或者“你永远不知道这个http请求的那头到底是上次那个哈士奇还是上上次那个胖子”,所以为了解决这个问题,php引入session来额外标记“到底谁发起的这个http请求”。在php中,php会为每个不同的用户生成一个随机的session id,每个人拥有的session id都是不同的。用户在与服务器产生的每一次交互中,都是利用session id来辨别的用户。让php产生session是一件很容易的事情,直接调用session_start()函数就可以了,如下图就是产生的session文件:

其中sess是文件前缀,后面的“njjf8l3lh**ff6”就是你的session id了。但是现在session文件内容是空的,如果我们用如下代码,就可以产生session文件的内容:

<?php
// 开启session
session_start();
$_SESSION['hello'] = 'world';

刷新一下网页,然后在再次查看原来的session文件,其中就会有如下内容:

就是说,你往全局变量$_SESSION保存的内容本质上都是PHP用文本形式给你存储到服务器上了。服务器根据你的session id读取相应的session文件然后把其中内容读出来,你就会得到你的$_SESSION数据。

第二个:php的session默认是以文件的形式存储的系统磁盘中,在运行于ubuntu 16.04系统的php 7.0.28中,session是存储于/var/lib/php/sessions文件夹下,可以通过php.ini配置文件中的session.save_path来查看确定。php的过期时间是由php配置项session.gc_maxlifetime来确定的,值的单位是秒钟,默认是1440,也就是说当这个session文件具体上次修改时间超过了1440秒后这个session文件就算是过期了。值得注意的是,过期了不代表这个session文件会马上被垃圾回收机制删除掉,还是有可能会残存一段时间的。那么,究竟何时会被删除?这取决于session.gc_probability和session.gc_divisor两个配置项了。这两个选项的比值 ( session.gc_probability / session.gc_divisor ) 就是触发垃圾回收机制的概率,比如 ( 1 / 100 ) 就可以简单粗暴的理解为“每产生100个请求,就有1次会触发php垃圾回收机制去删除过期的session文件”,所以你记住了:在php中如果你想要一个精确过期的session文件,最起码默认的session配置是绝对不可能的。话说回来,还不都是因为php并没有启动一个单独的线程或者进程去扫描垃圾,所以,也只能用这个“概率”这种粗暴的方式来解决这个问题,又不是不能用

第三个:开篇说了,为了搞明白“到底是哈士奇还是胖子”的问题,不得不引入额外标记数据才行,所以实际上,先有的cookie而有后的session,都是为了解决这个问题而产生的。二者的恩怨情仇在于:

  • cookie存在于客户端,而session存在于服务器端,所以session相对更安全
  • 服务器可以读取session和cookie,但是客户端(也就是浏览器)只能读取cookie
  • 默认情况下,session是离不开cookie的,说到底“安全的session使用方式”必须依靠cookie才能混口饭吃。因为session id就是依靠cookie保存起来的,客户端浏览器每次发送请求都会携带上该cookie,该cookie默认名称是PHPSESSID,数值就是session id。
  • 如果说就是用不了cookie,那么session也并不是真的不能用。禁用cookie的情况下,session可以通过配置利用URL来传递,也就是query string直接暴露在网址中,非常不安全非常吓人,严重不推荐这种方式,甚至应该直接禁用!
  • cookie大小稍微有限制(据说考虑用localstorage代替?),session相对宽松

大概就这些,不再赘述,我是建议大家配合php.ini文件去研究上面三个问题。

如果说真的只回顾一下这三个问题,那岂不是真的应了“一看标题猛如虎,打开内容1-5”?我说过了的,我这里是个正经的博客网站,是个真正的有些内涵的php文化网站,不能只讲些个初级的内容,是个话题都都要无论如何强塞点儿看起来高端的玩意进去撑场面。

刚叨叨过了,默认配置下session是以文本文件形保存在服务器的某个文件夹中的,有心的人应该知道“一个目录中文件过多是会降低读取效率的”,所以,在用一些PC软件的时候可以看到这些软件会把TA需要的数据分散开来到不同的次级目录中去。php的session文件也可以这么干,总体来说是比较简单粗暴的。我们需要关注下两个php配置项:

  • 一个是session.save_handler,默认这货的值是“files”,也就是文件
  • 一个是session.save_path,默认这货的值是一个目录路径,比如/var/lib/php/session。现在我们将这个值改成类似于session.save_path = “N;/path”这样的,其中N是一个正整数,这个数值的含义就是指将目录分成几个层次,比如我们修改成session.save_path = “2;/var/lib/php/sessions”,然后重启一下apache或者fpm进程管理器,然后执行如下代码:
<?php
echo "let rock session";
session_start();

刷新网页,如下图所示:

错误原因相比大家看到了,大概意思就是说“/var/lib/php/sessions/n/j/”这个文件夹不存在,那么切换到这个目录下看看,如下图:

果然是空的,也就说没有/n/j这个子目录,看来得手工创建了。然而,真的不能去手工创建,因为你哪儿知道文件夹的名字是啥?回到配置文件一顿研究,在session.save_path配置项附近发现如下英文字样:

; NOTE 1: PHP will not create this directory structure automatically.
;         You can use the script in the ext/session dir for that purpose.
; NOTE 2: See the section on garbage collection below if you choose to
;         use subdirectories for session storage

英文比较蹩脚昂,大概翻译一下,多包涵:

;NOTE 1: PHP压根不会帮你创建这些文件夹,您自己个儿下载php源码包,
到ext目录的session目中去找那个脚本去创建
; NOTE 2: 如果你要用子目录存储session的话,记得看下垃圾回收,不看就有坑。
(坑在这里直接告诉大家吧,大概就是说你要自己搞子目录存session,那我那个靠信仰和概率才能触发的垃圾回收机制就压根就不触发了,你自己想办法搞定你的过期session,我不管了)

所以呢,我们下载一个php源码包,最好是和你运行环境版本一样的php源码包并解压,命令行切到ext/session目录下,如下图:

看到那个mod_files.sh没?Linux下就这脚本。mod_files.bat就是给windows用的。给这个脚本chmod +x mod_files.sh加个执行权限,然后查看下使用方式:

为了帮助眼近视的读者,友情翻译一下使用方式:

./mod_files.sh 'session文件根目录' 目录深度 哈希函数比特量
对应我的php开发环境就是:
./mod_files.sh /var/lib/php/sessions/ 2 5
其中第一项就是你存储session的根目录,第二项就是那个N,第三项查看session.hash_bits_per_character配置项

然后执行,如下图所示:

此时到/var/lib/php/sessions中查看下,果然有目录了,那么,再次刷新网页,本以为很顺利的你可能依然会遇到错误,如下:

session_start(): open(/var/lib/php/sessions/n/j/sess_njjf8l3lhfrpq8nrlnl1d9qff6, O_RDWR) failed: Permission denied (13)

模模糊糊认得Permission denied这几个字母,好像是权限的问题,难道是因为当前apache进程用户或者fpm进程用户没有权限往这些目录写数据吗?改下这些目录的拥有者撒,改成www-data(我系统中fpm的运行用户),再试试,果然好了!

总有刁民以为这就可以解决很大的问题了,然而很悲剧的是:并不是。当前这个方案一定程度可以解决session文件过多的问题,但是依然有两个问题没有得到解决:

  • 依然是文件存储,如果访问量太大的话,session文件从硬盘的读取IO或许会成为程序的瓶颈,当然SSD速度一定会好很多
  • 如果网站分别部署到了两台服务器上,session无法共享,出现故障。什么意思呢?就是为了保证高可用,网站程序分别在A服务器上和B服务器上,然后最外面使用一台nginx挡在最前面做负载均衡,路人甲的某次http请求可能会被分配到A上,也可能会被分配到B上。路人甲在A上产生的session文件会被保存到A服务器硬盘上,但是服务器B上却没有,如果该用户请求被打到B上的时候,很不幸,session丢失了,一些数据也就会丢失,路人甲八成会骂娘骂客服。也就说,A服务器和B服务器需要共享同一套session!

借此,就引入一个问题,就是分布式web部署中,如何解决session共享的问题!

关子我就不卖了,没意思,首先想到的是redis,为A和B提供一台C redis服务器就可以了,这样可以“ 多快好省 ”地一举解决问题!按照预想,引入redis后可以顺利解决三个问题:

  • 内存级的读写速度,唰唰唰!
  • session轻松easy实现了共享,哪怕以后业务服务器继续横向扩展到服务器D
  • session的过期终于可以精确到秒了,说没就没,不用再靠信仰和概率了
  • 将session存入redis需要修正如下两处php配置,首先设置session.save_handler = redis,其次是设置session.save_path = “tcp://127.0.0.1:6379”,然后重启apache或者fpm,刷新一下网页,如果网页不报什么错误,理论上session数据就已经到redis中去了,连接redis查看下key,如下图:

从上至下我一共执行了五次redis命令,分别表示:

  • 查看所有keys从而获取php分配给我的session文件名称
  • 获取这个key的剩余时间,过期后redis该key算失效了
  • 查看这个key的数据类型,可以看出是string类型
  • 使用get直接获取string的值
  • 过了一段时间,我又刷新了一下网页,然后再次用ttl看该key的剩余时间,再次被延长到1440秒了

除了redis外(memcache我就不举例了,和redis类似),还有一种方案就是通过nfs共享来实现,大概原理就是弄一台服务器,通过内网共享对所有php业务服务器开放读写,大家知道linux下磁盘是可以挂载在某个文件夹下的,所以将nfs挂载到各个php业务服务器的某个目录下,然后按照上述文章修改响应配置就可以了。这个,我也没有尝试过也懒得自己去尝试了,所以偷个懒直接给大家抛个连接吧,是老叶博客上的一篇文章,《iMySQL | 老叶茶馆,PHP实现多服务器session共享之NFS共享》。

装逼完毕,如有问题,火速留言指正!

本文分享自微信公众号 - 高性能API社区(high-performance-api)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏PHP专享栏

TP漏洞之文件上传总结

一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。

11830
来自专栏sktj

Etcd 运行时重配置

1、更新:要更新 peer URL,首先,我们需要找到目标成员的ID。 etcdctl member list 6e3bd23ae5f1eae0: name...

4220
来自专栏腾讯技术工程官方号的专栏

令人惊叹的前端路由原理解析和实现方式

? 在单页应用如此流行的今天,曾经令人惊叹的前端路由已经成为各大框架的基础标配,每个框架都提供了强大的路由功能,导致路由实现变的复杂。想要搞懂路由内部实现还是...

10130
来自专栏云技术+云运维

CentOS 5/6下安装Axel插件加速yum下载

axel插件是基于yum下的一个多线程下载插件,通过打开多个HTTP/FTP连接来将一个文件进行分段下载,从而达到加速下载的目的。对于下载大文件,该工具特别有用...

8530
来自专栏PHP专享栏

Thinkphp同时用Mysql与MongoDB数据库

本篇文章详细介绍Thinkphp5 如何同时使用Mysql和MongoDB数据库。

14020
来自专栏sktj

Etcd 配置详解

对于标记 --my-flag 环境变量的格式是 ETCD_MY_FLAG。 适用于所有标记。

21410
来自专栏上云知识

腾讯云服务器上部署LNMP环境

最近在学Laravel,同参考文章,本来只是在虚拟机上运行,但现在正好因为手上有腾讯云服务器,所以就直接拿来部署Laravel。

9400
来自专栏FreeBuf

反间谍之旅:针对伊朗的网络之战

“土耳其轰炸美盟友”、“伊朗游轮被炸”等一系列的重大事件的发生无疑显示出中东地区紧张的局势。此时此刻的中东犹如一个桶,一不小心就会出现战争风险。不过,中东局势虽...

9410
来自专栏云服务器搭建ApachePHPMySQL

腾讯云服务器搭建ApachePHPMySQL环境

对于服务器来说稳定、极速就选择 2核 4G内存配置的云服务器比较稳妥。这个配置跑网站是比较轻松无压力的。配上 avada主题,可以做出的很大气、高大上的企业网站...

27840
来自专栏FreeBuf

Jira服务工作台路径遍历导致的敏感信息泄露漏洞分析

本文中,作者通过对JIRA Servcie Desk应用下普通用户和管理员账户的权限测试,发现可以普通用户身份访问获取到管理员账户关键路径下的一些敏感信息,这些...

10830

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励