如何创建自定义PHP会话处理程序?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (4)
  • 关注 (0)
  • 查看 (63)

我在使用PHP的本地 session管理创建自己的(基于MySQL的) session系统,我有一些疑问。

  1. 除了 session fixation和 session劫持之外,使用PHP的本机 session处理代码还有哪些其他问题?这两种方法都很容易修复,但我一直看到人们编写自己的系统来处理 session,所以我想知道为什么。
  2. 基于MySQL的会话处理程序会比PHP的本地 session更快吗?
  3. 使用session_set_save_handler是吗?我可以使它在很大程度上符合我的标准(除了命名)。另外,我个人喜欢用$_SESSION['blah'] = 'blah'VS$session->assign('blah', 'blah'),或者在这个程度上的东西。
  4. 有什么好的php会话资源,我应该看看吗?我最后一次与会议一起工作是在10年前,所以我的知识有点停滞。
  5. 不管我的选择是什么,我都会强制采用cookie-only 的方法。这样做有错吗?
提问于
用户回答回答于

阅读这篇详细的文章来解释自定义会话处理程序中的争用条件*

那么,如果按照应该的方式向每个session调用添加锁表和解锁表,那么自定义session处理程序将变得有点慢。

要使它更快,可以做的一件事是使用堆表来存储会话。这意味着数据将只存储在RAM中,永远不会写入磁盘。这将以惊人的速度工作,但如果服务器崩溃,所有会话数据都会丢失。

如果对服务器故障时丢失会话的可能性表示满意,则应该使用memcache作为会话处理程序。memcache已经具备了用于php会话处理程序的所有必要功能,只需安装memcache服务器,安装php的memcache扩展,然后将类似的内容添加到php.ini中。

[Session]
; Handler used to store/retrieve data.
; http://php.net/session.save-handler
;session.save_handler = files
session.save_handler = memcache
session.save_path="tcp://127.0.0.1:11215?persistent=1"

这肯定比基于默认文件的会话处理程序快得多。

使用MySQL作为会话处理程序的优点是,可以编写自定义类,在将数据保存到会话时执行其他任务。

如果会话处理程序中不需要额外的方法,那么就没有理由使用MySQL来存储会话数据。

用户回答回答于

它们都是很好的方法,使用MySQL有一些缺点,在某些情况下,流量级别如果做得不正确或者负载太高,实际上可能会使服务器崩溃!

我个人建议,考虑到标准会话已经被正确处理,只需使用它们并加密不希望黑客看到的数据。

如果没有适当的预防措施,饼干是不安全的。除非你需要“记住我”,否则就坚持 session吧!

不要使用MD5,它的加密和解密能力很差...我建议将数据解析并将其全部加密。

$salt = 'dsasda90742308408324708324832';
$password = sha1(sha1(md5('username').md5($salt));

这种加密不会很快被解密,我认为现在是不可能的。

用户回答回答于

大多数语言标准库的会话实现只支持基本的键值关联,其中密钥由客户端提供(即会话ID),值存储在服务器端(即会话存储),然后与客户端的请求相关联。

除此之外的任何内容(特别是安全措施)也超出了关键值关联和需要添加的基本会话机制。特别是由于这些安全措施大多伴随着错误:如何确定某一会话请求的真实性?IP地址?通过用户代理识别?还是两者兼而有之?还是根本没有会话身份验证?这始终是开发人员需要处理的安全性和可用性之间的权衡。

但是,如果我需要实现会话处理程序,我不仅要寻找纯粹的速度,而且--取决于需求--也要寻找可靠性。memcache可能很快,但是如果服务器崩溃,所有会话数据都会丢失。与此相反,数据库更可靠,但可能存在与memcache相反的速度缺点。但是,你不会知道,直到你自己测试和基准测试。您甚至可以使用两个不同的会话处理程序来处理不同的会话可靠性级别(不可靠在备忘录和可靠在MySQL/文件中)。

但这完全取决于你的要求。

扫码关注云+社区

领取腾讯云代金券