PHP内核探索之变量(5)- session的基本原理

8/31/2015来源:PHP技巧人气:4349

php内核探索之变量(5)- session的基本原理

  这次说说session.

  session可以说是当前互联网提到的最多的名词之一了。它的含义很宽泛,可以指任何一次完整的事务交互(会话):如发送一次HTTP请求并接受响应,执行一条SQL语句都可以看做一次Session。如无特殊说明,本文中提到的Session单指HTTP会话。

本文是PHP内核探索的第五篇,主要包含如下几个方面的内容:

  1. 背景知识和session基础
  2. PHP中session的原理
  3. 参考文献
一、背景知识,session基础

1. HTTP是无状态的

  我们知道,HTTP协议最初是匿名的、无状态的请求/响应协议。这样简单的设计可以使HTTP协议专注于资源的传输(HTTP是超文本传输协议),从而获得较好的性能。但这种无状态的设计也验证阻碍了交互web应用的发展,典型的如:电商网站需要获取用户的信息,以实现订单、购物车、交易等功能,SNS网站需要获取用户信息并存档,以建立真正的“社交网络”,甚至电影和CD租赁网站,也需要获取用户信息,以提供个性化的推荐,从而带来更好的效益。这意味着,必须要使用某种技术来识别和管理用户信息,Cookie和Session技术便是在这种背景下诞生的。

2. Session与Cookie

说到Session,就不得不提Session的好基友Cookie,因为很多情况下Session依赖于Cookie存储其session_id。而如果要说Session和Cookie的区别,我想大家应该都不陌生,有的同学甚至可以轻松背出如下一些常见的区别:

(1). Cookie是客户端保持状态的解决方案,而Session是服务器端保持状态的技术,因此,Cookie是存储在客户端的,而Session是存储在服务器端的。

(2). 大多数情况下,Session需要使用Cookie做载体,来存放session_id,所以,如果禁用了Cookie,必须要通过其他的手段来获取这个session_id( 例如通过get或者post的方式将session_id传递给服务器 )

(3). Cookie过期和删除只能保证客户端的连接的失效,并不会清除服务器端的Session

(4). 尽管默认情况下,Session和Cookie都是写文件的( Session也可以写数据库或者其他内存缓存如memcached ),但是,Cookie则依赖于浏览器的设定:例如,IE6下限定每个域名下最多20个Cookie,很多浏览器限制Cookie的大小不能超过4096字节。

关于Cookie的更多讨论,已经超出了本文的范畴,需要了解的同学可以参考《HTTP权威指南》和《javaScript高级程序设计》这两本书,相信一定会对Cookie有更加深入的理解。

3. php中Session的基本操作

php中,Session相关的操作是以扩展的形式提供的 ( 源码目录:PHPSRC/ext/session/ )。PHP提供了大量的、丰富的API来操作Session:

(1). session_start

bool session_start ( void )

  session_start()用于启动一个会话,一般而言,我们在使用$_SESSION时,都要先调用session_start( 或者你的php.ini中配置了session.auto_start )。那么在session.auto_start=false的情况下, session_start是不是一定是session操作的第一个必须调用的函数呢?答案是否定的。虽然在一般情况下,我们在需要操作session时,基本上都是将session_start()放在脚本的第一行,但实际上在调用session_start时,Session相关的参数都已经初始化完毕,这之后是无法通过session_name和session_set_cookie_params, session_save_path等函数更改Session的参数信息的。所以,如果需要更改session的相关参数,除了可以在ini文件中更改(或者通过ini_set更改),还可以通过session_name, session_save_path, session_set_cookie_params等函数修改,且这些函数必须在session_start之前调用。例如:

session_save_path('/root/xiaoq/phpCode/session');session_start();$_SESSION['index'] = "this is desc";$_SESSION['int']   = 123;

  session_start()调用之后,除了要设置Session的基本参数之外,还会以一定的概率启动Session的GC。

(2). session_id()

  如同数据库中每条记录需要一个主键一样,Session也需要一个id值用于唯一标识一个Client,这个标识便是session_id。函数session_id()用于设置或者更改当前会话的session_id,例如:

session_save_path('/root/xiaoq/phpCode/session');session_start();                                   $_SESSION['index'] = "this is desc";$_SESSION['int']   = 123;PRint_r( session_id());//5rdhbe4k8k73h5g1fsii01iau5

在设置了session.save_handler=files的情况下,服务器端是以sess_{session_id}的命名方式来储存Session数据文件的:

  正常情况下,不同会话的session_id是不会重复的。在已知session_id的情况下,我们可以通过传递session_id的方法来获取Session数据,从而避开Cookie的限制:

session_save_path('/root/xiaoq/phpCode/session');session_id("5rdhbe4k8k73h5g1fsii01iau5");session_start();print_r($_SESSION);/* Array(    [index] => this is desc    [int] => 123) */

  Session文件存储会有很多问题和瓶颈,关于这一点,之后也会有详细的说明和解释。

(4). session_write_close/session_commit

  默认情况下,session数据是在当前会话结束时(一般就是指脚本执行完毕时)才会写入文件的,这样会带来一些问题。例如,如果当前脚本执行过长,那么当其他脚本访问同一session_id下的session数据时便会阻塞(这实际上会涉及到文件锁flock,之后会有说明),直到前一脚本执行完毕并写入session文件。可以用sleep来简单模拟这一情况:

session_save_path('/root/xiaoq/phpCode/session');session_start();$_SESSION['index'] = "this is desc";$_SESSION['int']   = 123;sleep(15);

  避免这一情况的一种方法是:在session数据使用完毕之后,调用session_commit或者session_write_close函数通知服务器写入session数据并关闭文件(释放flock的锁):

session_save_path('/root/xiaoq/phpCode/session');session_start();$_SESSION['index'] = "this is desc";$_SESSION['int']   = 123;session_commit();sleep(15);

注意session_commit和session_write_close只是同一函数的不同别名。

(5). session_destroy

很多同学在会话结束的时候,都是通过unset($_SESSION)的方式来删除会话数据(这与session_unset()的作用类似)。实际上这样并不是稳妥的做法,原因是:unset($_SESSION)只是重置$_SESSION这个全局变量,并不会将session数据从服务器端删除。较为稳妥的做法是,在需要清除当前会话数据的时候调用session_destroy删除服务器端Session数据(同时,最好使Cookie也过期):

session_save_path('/root/xiaoq/phpCode/session');session_start();$_SESSION['index'] = "this is desc";$_SESSION['int']   = 123;unset($_SESSION);session_destroy();

3.  session的ini配置

由于Session的很多操作依赖于ini中的参数配置,因此我们有必要对此做一个比较全面的了解。php.ini比较重要的Session参数配置包括:

(1). session.save_handler

这个参数用于指定Session的存储方式(实际上是指定了一个处理Session的句柄)。可以是files(文件存储,默认), user( 用户自定义存储 ),或者其他的扩展方式(如memcache)。

(2). session.save_path

在使用session.save_handler=files的情况下,session.save_path用于指定Session文件存储的目录,如session.save_path= “/tmp”;这种配置下,所有的session文件都是写入一个目录的。这在某些情况下是有问题的(如有的系统单目录下支持的文件数是有限制的,而且,同一目录下文件过多,会造成读取变慢)。session.save_path还支持多级目录hash的方式:session.save_path = "N;/path"; 这种配置方式会将session文件分散到不同的子目录中,避免单目录文件文件过多。同样,这种配置方式也有较大的问题:如Session的GC是无效的,而且,PHP并不会自动为你创建子目录,需要手动创建或者通过脚本创建。

(3). session.name

在使用Cookie为载体的情况下,session.name指定存储session_id的Cookie的key( cookie中也是基于key=>value)。默认的情况下,session.name= PHPSESSID

,可以更改为任何合法的其他名称。同样,也可以通过session_name函数,在调用session_start之前设置这个key的名称:

session_name("NEW_SESSION");session_start();$_SESSION['index'] = "this is desc";$_SESSION['int']   = 123;

抓包可以看到,现在,Cookie中是以新的session.name来传递session_id了,而第一次服务器端的响应中,也会发送Set-Cookie:

(4). session.auto_start

这个参数用于指定是否需要自动开启session,在设置为true的情况下,不需要在脚本中显式的调用session_start(). 如果不是特殊需要,我们并不建议开启session.auto_start.

(5). session.gc_*

主要用于配置session GC的相关参数。关于这点,我们在后面会有详细讲解,这里暂时搁置

(6). session.cookie_*

主要用于配置session的载体cookie的相关参数信息,如cookie的path, lifetime, 域domain等。

关于Session的更多配置,可以参考:

http://cn2.php.net/manual/zh/session.configuration.php

二、 under the hood - PHP中session的原理

现在,我们对Session已经有了一个基本的认识,接下来,我们将更深入的去探讨和挖掘Session的更多细节。这一部分的内容比较枯燥乏味,对于不需要了解Session内部细节的同学,完全可以略过。接下来的部分,如果没有特殊说明,都是指session.save_handler=files的情况。

1. session模块的初始化MINIT

前面我们提到,在php中,Session是以扩展的形式加载的,因此,它也会经历扩展的MINIT -> RINIT -> RSHUTDOWN -> MSHUTDOWN等阶段。PHP_MINIT_FUNCTION和PHP_RINIT_FUNCTION是php启动过程中两个关键点:在php启动时,会依次调用各个扩展模块的PHP_MINIT_FUNCTION来完成各个扩展模块的初始化工作,而PHP_RINIT_FUNCTION则在对模块的请求到来时作一些准备性工作。对于Session而言,PHP_MINIT_FUNCTION主要完成的初始化工作包括(注:不同版本的PHP具体处理过程并不完全相同,如PHP 5.4+提供了SessionHandlerInterface,这样可以通过session_set_save_handler ( SessionHandlerInterface $sessionhandler )的方式自定义Session的处理机制,而不必像之前一样使用冗长的bool session_set_save_handler ( callable $open , callable $close , callable $read , callable $write , callable $destroy , callable $gc [, callable $create_sid ] )):

(1). 注册$_SESSION超全局变量:

zend_register_auto_global("_SESSION", sizeof("_SESSION")-1, NULL TSRMLS_CC);

也就是说,$_SESSION超全局变量实际上是在session的MINIT阶段被注册的。

(2). 读取ini文件中的相关配置。

REGISTER_INI_ENTRIES();

REGISTER_INI_ENTRIES();实际上是一个宏定义:

#define REGISTER_INI_ENTRIES() zend_register_ini_entries(ini_entries, module_number TSRMLS_CC)

因此,实际上是调用zend_register_ini_entries(ini_entries, module_number TSRMLS_CC)。关于ini文件的解析和配置,已经超出了本文的范畴,可以参考这篇文章:http://www.cnblogs.com/driftcloudy/p/4011954.html 。

  扩展中读取和设置ini的相关配置位于PHP_INI_BEGIN和PHP_INI_END宏之间。对于session而言,实际上包括:

PHP_INI_BEGIN()       STD_PHP_INI_BOOLEAN("session.bug_compat_42",    "1",         PHP_INI_ALL, OnUpdateBool,   bug_compat,         php_ps_globals,    ps_globals)       STD_PHP_INI_BOOLEAN("session.bug