이 기사에서는 PHP 세션 사용 중 잠금 및 동시성 문제를 공유합니다. 관련 현상으로는 요청 차단, 세션 데이터 손실, 세션 데이터를 읽을 수 없음 등이 있습니다.
로그인이 안 돼요
어느 날 버그를 해결하기 위해 백엔드 시스템 중 하나에 로그인하려고 했습니다. 계정과 비밀번호 인증 코드를 정확하게 입력했는데도 로그인할 수 없었습니다. 많은 실험 끝에 두 가지 주요 시스템이 있다는 것을 알게 되었습니다. 오류 메시지:
- csrf 확인 실패
- 인증코드가 잘못되었습니다. [본 인증코드를 반각으로 입력했고, 순서도 추가문자 없이 일관되었습니다]
우리 시스템
저희 시스템은 phalcon 2.0.8을 기반으로 개발되었으며, 폼 필드에 CSRF 공격을 방지하기 위한 필드를 추가했습니다. 보안 문자도 활성화되어 있습니다.
<input type="hidden" name="{{ security.getTokenKey() }}" value="{{ security.getToken() }}"/> <img src="/static/imghwm/default1.png" data-src="/login/getCaptcha" class="lazy" id="img-captcha"/ alt="PHP 세션 잠금 및 concurrency_php 팁" >
먼저 이 두 구성요소를 확인한 결과 둘 다 세션에 데이터를 저장하는 것으로 나타났습니다.
# phalcon/security.zep # Security::getToken() let session = <SessionInterface> dependencyInjector->getShared("session"); session->set(this->_tokenValueSessionID, token); $this->session->set('admin_get_captcha_action', $captcha);
그런 다음 세션 구현을 확인한 결과 데이터가 Redis에 저장되어 있음을 발견했습니다.
보고 또보고
로그인이 안되는 문제는 무엇인가요? 데이터 검증에 문제가 있어서 먼저 데이터부터 살펴보겠습니다. 우리 테스트 환경에서 redis 머신에 로그인하고 redis-cli monitor를 실행한 후 로그인 과정을 거쳐서 다음과 같은 출력을 발견했습니다(의미).
- 세션 ID 가져오기
- 세션 ID 가져오기
- SETEX 세션 ID 3600 csrf=xxxx
- SETEX sessionId 3600 captcha=abcd
다음을 볼 수 있습니다.
1. 여기에는 두 가지 요청이 있습니다. 하나는 양식을 로드하는 것이고, 다른 하나는 인증 코드를 생성하는 것입니다.
2. 이 두 요청은 양식이 로드되고 렌더링된 후 확인 코드를 요청해야 합니다. 즉, 세션 순서가 get->set->get->여야 합니다. 동시 요청된 것 같나요?
3. 후자의 SETEX에는 csrf 콘텐츠가 없으므로 이전 데이터를 덮어씁니다
세상이 다 안 좋은데 문제가 뭔지 조금 이해가 되네요. 문제는 무엇입니까? PHP의 세션 데이터 액세스부터 시작하여 이야기가 길어졌습니다.
PHP 세션 데이터 액세스
세션 데이터는 문자열로 인코딩되어 저장소[file, db, redis, memcache 등]에 저장됩니다. 세션을 사용할 때 저장소에서 데이터를 언제 가져오나요? 데이터는 언제 메모리에 기록됩니까?
이 질문에 대한 대답은 일부 친구들의 생각과 다를 수 있습니다. 요청에서 PHP는 session_start 동안 메모리를 한 번만 읽은 다음 요청이 끝날 때 한 번만 메모리에 씁니다. 또는 session_write_close 동안 데이터가 메모리로 다시 플러시되고 세션이 닫힙니다.
그럼 질문은 이렇습니다.
1. 세션에 동시에 두 개의 읽기 및 쓰기 세션 요청이 있는 경우 1-쓰기 1-얻기 2-쓰기 2를 얻을 수 있다는 보장이 없으며 CAS 버전 관리 메커니즘이 없습니다. 요청은 서로 상호 작용합니다. 상대방의 쓰기를 읽을 수 없으면 마지막 쓰기가 이전 요청에 의해 작성된 세션을 덮어씁니다.
2. 로그인 페이지의 양식 및 인증 코드와 같이 요청이 연속적인 경우 이전 요청에서 이미 내용을 출력했지만 세션이 아직 작성되지 않고 후속 요청이 시작되었을 수 있습니다.
잠김 및 잠금 해제
이러한 리소스의 동시성 해결은 일반적으로 잠금 또는 버전 관리를 통해 처리됩니다. 하지만 버전 관리를 수행하는 좋은 방법은 없습니다. 자물쇠에 대해 이야기합시다.
사실 자물쇠는 그다지 적합하지도 않고 단점도 있습니다.
PHP 세션은 기본적으로 파일에 저장됩니다. 세션이 열리면 파일에 배타적 잠금이 추가됩니다. 이러한 방식으로 다른 요청은 잠금을 얻을 수 없으며 이전 잠금이 해제될 때까지만 기다릴 수 있습니다.
이렇게 하면 읽기-쓰기, 읽기-쓰기 순서가 보장됩니다.
mysql과 같은 다른 스토리지에서는 업데이트 선택을 사용하여 행 잠금을 수행할 수 있습니다. Redis는 자동 증가 키를 통해 구현될 수 있으며 잠금을 획득하기 위해 1을 반환하는 등의 작업을 수행할 수 있습니다.
이 구현은 데이터 흐름에 이상적입니다. 그러나 Ajax가 페이지에서 널리 사용되는 현재 상황에서는 모든 요청이 처리를 위해 대기하게 되므로 페이지를 표시하는 데 걸리는 시간이 크게 늘어나고 오류가 발생할 수도 있습니다. 요청 시간 초과와 같은 가용성이 없습니다.
해결책이 없습니다
세션을 너무 많이 사용하지 않는 것이 좋습니다. 한 번 읽고 한 번 쓰고 나면 문제가 발생할 수 있습니다.
템플릿 렌더링 또는 출력 요청 전에 session_write_close
를 호출하세요.
# 立刻回写session,避免session覆盖 $eventManager = $this->view->getEventsManager(); if (!$eventManager) { $eventManager = new Manager(); $this->view->setEventsManager($eventManager); } $eventManager->attach("view:afterRender",function(){ session_write_close(); }); return $this->view;
if($login) { # 立刻回写session,避免session读取不到 $eventManager = $this->dispatcher->getEventsManager(); if (!$eventManager) { $eventManager = new Manager(); $this->dispatcher->setEventsManager($eventManager); } $eventManager->attach('dispatch:afterDispatchLoop',function(){ session_write_close(); }); return $this->response->setHeader('Location', '/'); }
위 내용은 PHP 세션의 잠금 및 동시성에 대한 내용이므로 모든 분들의 학습에 도움이 되기를 바랍니다.

phpsession 실패 이유에는 구성 오류, 쿠키 문제 및 세션 만료가 포함됩니다. 1. 구성 오류 : 올바른 세션을 확인하고 설정합니다. 2. 쿠키 문제 : 쿠키가 올바르게 설정되어 있는지 확인하십시오. 3. 세션 만료 : 세션 시간을 연장하기 위해 세션을 조정합니다 .GC_MAXLIFETIME 값을 조정하십시오.

PHP에서 세션 문제를 디버그하는 방법 : 1. 세션이 올바르게 시작되었는지 확인하십시오. 2. 세션 ID의 전달을 확인하십시오. 3. 세션 데이터의 저장 및 읽기를 확인하십시오. 4. 서버 구성을 확인하십시오. 세션 ID 및 데이터를 출력, 세션 파일 컨텐츠보기 등을 통해 세션 관련 문제를 효과적으로 진단하고 해결할 수 있습니다.

Session_Start ()로 여러 통화를하면 경고 메시지와 가능한 데이터 덮어 쓰기가 발생합니다. 1) PHP는 세션이 시작되었다는 경고를 발행합니다. 2) 세션 데이터의 예상치 못한 덮어 쓰기를 유발할 수 있습니다. 3) Session_status ()를 사용하여 반복 통화를 피하기 위해 세션 상태를 확인하십시오.

SESSION.GC_MAXLIFETIME 및 SESSION.COOKIE_LIFETIME을 설정하여 PHP에서 세션 수명을 구성 할 수 있습니다. 1) SESSION.GC_MAXLIFETIME 서버 측 세션 데이터의 생존 시간을 제어합니다. 2) 세션 .Cookie_Lifetime 클라이언트 쿠키의 수명주기를 제어합니다. 0으로 설정하면 브라우저가 닫히면 쿠키가 만료됩니다.

데이터베이스 스토리지 세션 사용의 주요 장점에는 지속성, 확장 성 및 보안이 포함됩니다. 1. 지속성 : 서버가 다시 시작 되더라도 세션 데이터는 변경되지 않아도됩니다. 2. 확장 성 : 분산 시스템에 적용하여 세션 데이터가 여러 서버간에 동기화되도록합니다. 3. 보안 : 데이터베이스는 민감한 정보를 보호하기 위해 암호화 된 스토리지를 제공합니다.

SessionHandlerInterface 인터페이스를 구현하여 PHP에서 사용자 정의 세션 처리 구현을 수행 할 수 있습니다. 특정 단계에는 다음이 포함됩니다. 1) CustomsessionHandler와 같은 SessionHandlerInterface를 구현하는 클래스 만들기; 2) 인터페이스의 방법 (예 : Open, Close, Read, Write, Despare, GC)의 수명주기 및 세션 데이터의 저장 방법을 정의하기 위해 방법을 다시 작성합니다. 3) PHP 스크립트에 사용자 정의 세션 프로세서를 등록하고 세션을 시작하십시오. 이를 통해 MySQL 및 Redis와 같은 미디어에 데이터를 저장하여 성능, 보안 및 확장 성을 향상시킬 수 있습니다.

SessionId는 웹 애플리케이션에 사용되는 메커니즘으로 사용자 세션 상태를 추적합니다. 1. 사용자와 서버 간의 여러 상호 작용 중에 사용자의 신원 정보를 유지하는 데 사용되는 무작위로 생성 된 문자열입니다. 2. 서버는 쿠키 또는 URL 매개 변수를 통해 클라이언트로 생성하여 보낸다. 3. 생성은 일반적으로 임의의 알고리즘을 사용하여 독창성과 예측 불가능 성을 보장합니다. 4. 실제 개발에서 Redis와 같은 메모리 내 데이터베이스를 사용하여 세션 데이터를 저장하여 성능 및 보안을 향상시킬 수 있습니다.

JWT 또는 쿠키를 사용하여 API와 같은 무국적 환경에서 세션을 관리 할 수 있습니다. 1. JWT는 무국적자 및 확장 성에 적합하지만 빅 데이터와 관련하여 크기가 크다. 2. 쿠키는보다 전통적이고 구현하기 쉽지만 보안을 보장하기 위해주의해서 구성해야합니다.


핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

인기 기사

뜨거운 도구

SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.

mPDF
mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.

SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전

메모장++7.3.1
사용하기 쉬운 무료 코드 편집기

DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
