찾다
백엔드 개발PHP 튜토리얼PHP 세션 잠금 및 concurrency_php 팁

이 기사에서는 PHP 세션 사용 중 잠금 및 동시성 문제를 공유합니다. 관련 현상으로는 요청 차단, 세션 데이터 손실, 세션 데이터를 읽을 수 없음 등이 있습니다.

로그인이 안 돼요
어느 날 버그를 해결하기 위해 백엔드 시스템 중 하나에 로그인하려고 했습니다. 계정과 비밀번호 인증 코드를 정확하게 입력했는데도 로그인할 수 없었습니다. 많은 실험 끝에 두 가지 주요 시스템이 있다는 것을 알게 되었습니다. 오류 메시지:

  • csrf 확인 실패
  • 인증코드가 잘못되었습니다. [본 인증코드를 반각으로 입력했고, 순서도 추가문자 없이 일관되었습니다]

우리 시스템
저희 시스템은 phalcon 2.0.8을 기반으로 개발되었으며, 폼 필드에 CSRF 공격을 방지하기 위한 필드를 추가했습니다. 보안 문자도 활성화되어 있습니다.

<input type="hidden" 
  name="{{ security.getTokenKey() }}"
  value="{{ security.getToken() }}"/>
<img  src="/static/imghwm/default1.png"  data-src="/login/getCaptcha"  class="lazy" id="img-captcha"/ alt="PHP 세션 잠금 및 concurrency_php 팁" > 

먼저 이 두 구성요소를 확인한 결과 둘 다 세션에 데이터를 저장하는 것으로 나타났습니다.

# phalcon/security.zep
# Security::getToken()
let session = <SessionInterface> dependencyInjector->getShared("session"); 
session->set(this->_tokenValueSessionID, token); 
$this->session->set('admin_get_captcha_action', $captcha);

그런 다음 세션 구현을 확인한 결과 데이터가 Redis에 저장되어 있음을 발견했습니다.

보고 또보고
로그인이 안되는 문제는 무엇인가요? 데이터 검증에 문제가 있어서 먼저 데이터부터 살펴보겠습니다. 우리 테스트 환경에서 redis 머신에 로그인하고 redis-cli monitor를 실행한 후 로그인 과정을 거쳐서 다음과 같은 출력을 발견했습니다(의미).

  • 세션 ID 가져오기
  • 세션 ID 가져오기
  • SETEX 세션 ID 3600 csrf=xxxx
  • SETEX sessionId 3600 captcha=abcd

다음을 볼 수 있습니다.

1. 여기에는 두 가지 요청이 있습니다. 하나는 양식을 로드하는 것이고, 다른 하나는 인증 코드를 생성하는 것입니다.
2. 이 두 요청은 양식이 로드되고 렌더링된 후 확인 코드를 요청해야 합니다. 즉, 세션 순서가 get->set->get->여야 합니다. 동시 요청된 것 같나요?
3. 후자의 SETEX에는 csrf 콘텐츠가 없으므로 이전 데이터를 덮어씁니다
세상이 다 안 좋은데 문제가 뭔지 조금 이해가 되네요. 문제는 무엇입니까? PHP의 세션 데이터 액세스부터 시작하여 이야기가 길어졌습니다.

PHP 세션 데이터 액세스
세션 데이터는 문자열로 인코딩되어 저장소[file, db, redis, memcache 등]에 저장됩니다. 세션을 사용할 때 저장소에서 데이터를 언제 가져오나요? 데이터는 언제 메모리에 기록됩니까?

이 질문에 대한 대답은 일부 친구들의 생각과 다를 수 있습니다. 요청에서 PHP는 session_start 동안 메모리를 한 번만 읽은 다음 요청이 끝날 때 한 번만 메모리에 씁니다. 또는 session_write_close 동안 데이터가 메모리로 다시 플러시되고 세션이 닫힙니다.

그럼 질문은 이렇습니다.

1. 세션에 동시에 두 개의 읽기 및 쓰기 세션 요청이 있는 경우 1-쓰기 1-얻기 2-쓰기 2를 얻을 수 있다는 보장이 없으며 CAS 버전 관리 메커니즘이 없습니다. 요청은 서로 상호 작용합니다. 상대방의 쓰기를 읽을 수 없으면 마지막 쓰기가 이전 요청에 의해 작성된 세션을 덮어씁니다.
2. 로그인 페이지의 양식 및 인증 코드와 같이 요청이 연속적인 경우 이전 요청에서 이미 내용을 출력했지만 세션이 아직 작성되지 않고 후속 요청이 시작되었을 수 있습니다.
잠김 및 잠금 해제
이러한 리소스의 동시성 해결은 일반적으로 잠금 또는 버전 관리를 통해 처리됩니다. 하지만 버전 관리를 수행하는 좋은 방법은 없습니다. 자물쇠에 대해 이야기합시다.

사실 자물쇠는 그다지 적합하지도 않고 단점도 있습니다.

PHP 세션은 기본적으로 파일에 저장됩니다. 세션이 열리면 파일에 배타적 잠금이 추가됩니다. 이러한 방식으로 다른 요청은 잠금을 얻을 수 없으며 이전 잠금이 해제될 때까지만 기다릴 수 있습니다.

이렇게 하면 읽기-쓰기, 읽기-쓰기 순서가 보장됩니다.

mysql과 같은 다른 스토리지에서는 업데이트 선택을 사용하여 행 잠금을 수행할 수 있습니다. Redis는 자동 증가 키를 통해 구현될 수 있으며 잠금을 획득하기 위해 1을 반환하는 등의 작업을 수행할 수 있습니다.

이 구현은 데이터 흐름에 이상적입니다. 그러나 Ajax가 페이지에서 널리 사용되는 현재 상황에서는 모든 요청이 처리를 위해 대기하게 되므로 페이지를 표시하는 데 걸리는 시간이 크게 늘어나고 오류가 발생할 수도 있습니다. 요청 시간 초과와 같은 가용성이 없습니다.

해결책이 없습니다
세션을 너무 많이 사용하지 않는 것이 좋습니다. 한 번 읽고 한 번 쓰고 나면 문제가 발생할 수 있습니다.
템플릿 렌더링 또는 출력 요청 전에 session_write_close
를 호출하세요.

# 立刻回写session,避免session覆盖
$eventManager = $this->view->getEventsManager();
if (!$eventManager) { 
  $eventManager = new Manager();
  $this->view->setEventsManager($eventManager);
}
$eventManager->attach("view:afterRender",function(){
  session_write_close();
});
return $this->view; 
if($login) { 
  # 立刻回写session,避免session读取不到
  $eventManager = $this->dispatcher->getEventsManager();
  if (!$eventManager) {
    $eventManager = new Manager();
    $this->dispatcher->setEventsManager($eventManager);
  }
  $eventManager->attach('dispatch:afterDispatchLoop',function(){
    session_write_close();
  });
  return $this->response->setHeader('Location', '/');
}

위 내용은 PHP 세션의 잠금 및 동시성에 대한 내용이므로 모든 분들의 학습에 도움이 되기를 바랍니다.

성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
php怎么把负数转为正整数php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PM

php把负数转为正整数的方法:1、使用abs()函数将负数转为正数,使用intval()函数对正数取整,转为正整数,语法“intval(abs($number))”;2、利用“~”位运算符将负数取反加一,语法“~$number + 1”。

php怎么实现几秒后执行一个函数php怎么实现几秒后执行一个函数Apr 24, 2022 pm 01:12 PM

实现方法:1、使用“sleep(延迟秒数)”语句,可延迟执行函数若干秒;2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句,可延迟执行函数若干秒和纳秒;3、使用“time_sleep_until(time()+7)”语句。

php怎么除以100保留两位小数php怎么除以100保留两位小数Apr 22, 2022 pm 06:23 PM

php除以100保留两位小数的方法:1、利用“/”运算符进行除法运算,语法“数值 / 100”;2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值,并保留两位小数。

php怎么根据年月日判断是一年的第几天php怎么根据年月日判断是一年的第几天Apr 22, 2022 pm 05:02 PM

判断方法:1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式;2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的,因此真实天数需要在此基础上加1。

php字符串有没有下标php字符串有没有下标Apr 24, 2022 am 11:49 AM

php字符串有下标。在PHP中,下标不仅可以应用于数组和对象,还可应用于字符串,利用字符串的下标和中括号“[]”可以访问指定索引位置的字符,并对该字符进行读写,语法“字符串名[下标值]”;字符串的下标值(索引值)只能是整数类型,起始值为0。

php怎么判断有没有小数点php怎么判断有没有小数点Apr 20, 2022 pm 08:12 PM

php判断有没有小数点的方法:1、使用“strpos(数字字符串,'.')”语法,如果返回小数点在字符串中第一次出现的位置,则有小数点;2、使用“strrpos(数字字符串,'.')”语句,如果返回小数点在字符串中最后一次出现的位置,则有。

php怎么替换nbsp空格符php怎么替换nbsp空格符Apr 24, 2022 pm 02:55 PM

方法:1、用“str_replace("&nbsp;","其他字符",$str)”语句,可将nbsp符替换为其他字符;2、用“preg_replace("/(\s|\&nbsp\;||\xc2\xa0)/","其他字符",$str)”语句。

php怎么读取字符串后几个字符php怎么读取字符串后几个字符Apr 22, 2022 pm 08:31 PM

在php中,可以使用substr()函数来读取字符串后几个字符,只需要将该函数的第二个参数设置为负值,第三个参数省略即可;语法为“substr(字符串,-n)”,表示读取从字符串结尾处向前数第n个字符开始,直到字符串结尾的全部字符。

See all articles

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

에디트플러스 중국어 크랙 버전

에디트플러스 중국어 크랙 버전

작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음

SublimeText3 영어 버전

SublimeText3 영어 버전

권장 사항: Win 버전, 코드 프롬프트 지원!

ZendStudio 13.5.1 맥

ZendStudio 13.5.1 맥

강력한 PHP 통합 개발 환경