本文為《PHP經典實例》閱讀筆記
前言
隨著web應用日漸成熟,“有狀態(tài)性”成為一個常見的需求,有狀態(tài)應用已經相當普及,甚至被認為是理所當然的。有狀態(tài)應用是指:訪問者瀏覽網站時,應用能跟蹤記錄這個訪問者的信息。雖然http被設計為無狀態(tài)協(xié)議,不過PHP提供了一組方便的會話管理函數,使實現有狀態(tài)應用更方便簡單,后文將介紹開發(fā)有狀態(tài)應用時要謹記的一些優(yōu)秀實踐做法。
使用會話跟蹤
我們可以使用會話模塊來跟蹤用戶,如下面的一個例子:
session_start();
if (! isset($_SESSION['visit'])){
$_SESSION['visit'] = 0;
}
$_SESSION['visit']++;
echo 'You have visited here '.$_SESSION['visit'].' times.';
會話模塊通過向用戶發(fā)送cookie來跟蹤用戶,cookie中包含隨機生成的session id,且cookie名為PHPSESSID。如果用戶不接受cookie,那么會在URL后加上?PHPSESSID=xxxx(id),使之能傳遞到下一個頁面。明顯這樣的URL并不安全,比如一個用戶復制該URL并發(fā)送給其他人,那么無意間其他人便會假冒成該用戶訪問網站,因此默認會禁止這種行為。要啟用URL中傳遞session id的功能,可以在開始會話前使用ini_set('session.use_trans_sid',true)。
防止會話劫持
為確保攻擊者不能訪問另一用戶的會話,我們可以規(guī)定只允許通過cookie傳遞session id,并生成另外一個會話token通過URL傳遞。只有包含一個合法session id和合法token才可以訪問會話,如下面部分示例代碼:
ini_set('session.use_only_cookies', true);
//指定是否在客戶端僅僅使用 cookie 來存放會話 ID,啟用此設定可以防止有關通過 URL 傳遞會話 ID 的攻擊。
session_start();
$salt = 'YourSpecialValueHere';
$tokenstr = strval(date('W')).$salt;
$token = md5($tokenstr);
if (!isset($_REQUEST['token']) || $_REQUEST['token'] != $token){
// 提示登錄
echo "Please login";
exit;
}
$_SESSION['token'] = $token;
output_add_rewrite_var('token', $token);
該例通過將當前周數strval(date('W'))與變量$salt連接為一個字符串,創(chuàng)建一個自動移位的token,保證token是不固定的且在一段時間內是合法的。
然后檢查請求中的token【$_REQUEST具有$_POST和$_GET的功能,但相對來說會比較慢】,如果未找到則提示重新登錄,找到則將它添加到生成的鏈接【例如當前頁面<a>標簽的鏈接后作為get的參數】或者表單中【以input隱藏域形式】,以保證下一次請求能順利進行。用output_add_rewrite_var()來實現上述功能。
防止會話固定攻擊
為確保應用不會受到會話固定攻擊(攻擊者強制用戶使用一個預定義的會話ID),我們應使用會話cookie但會話標識符不會追加到url中,同時頻繁生成新的會話ID。
ini_set('session.use_only_cookies', true);
session_start();
if (!isset($_SESSION['generated'])
|| $_SESSION['generated'] < (time() - 30)) {
session_regenerate_id();
$_SESSION['generated'] = time();
}
該例首先設置會話行為,即只能用cookie存儲session id,確保PHP不會注意攻擊者放在URL中的session id。
一旦會話開始,設置一個值來記錄生成session id的最后時間,定期生成一個新的session id,該例所定時間為30秒,就能大大降低攻擊者得到合法session id的幾率。
這兩種方法結合,基本可以消除會話固定攻擊的風險。攻擊者很難得到一個合法的session id,因為id會頻繁變化,另外由于session id只能在cookie中傳遞,因此基于url的攻擊是不可能的。
在數據庫中存儲會話
我們可能希望在數據庫中存儲會話數據而不是在文件中,這時如果多個服務器可以訪問同一個數據庫,那么會話數據就會鏡像到所有web服務器。具體方法便是通過向session_set_save_handler()提供一個實現SessionHandlerInterface接口的實例,來注冊自定義會話存儲函數(在PHP 5.4以后的版本才能這樣用)。首先我們實現接口如下,其文件名為db.php,它使用PDO將session 數據存儲在一個數據庫表中:
class DBHandler implements SessionHandlerInterface {
protected $dbh;
/**
* open 回調函數類似于類的構造函數,在會話打開的時候會被調用。
* 這是自動開始會話或者通過調用session_start() 手動開始會話 之后第一個被調用的回調函數。
* 此回調函數操作成功返回 TRUE,反之返回 FALSE。
*/
public function open($save_path, $name) {
try {
$this->connect($save_path, $name);
return true;
} catch (PDOException $e) {
return false;
}
}
/**
* close 回調函數類似于類的析構函數。在 write 回調函數調用之后調用。
* 當調用 session_write_close() 函數之后,也會調用 close 回調函數。
* 此回調函數操作成功返回 TRUE,反之返回 FALSE。
*/
public function close() {
return true;
}
/**
* 銷毀session時會調用
* 當調用session_destroy()函數,或者調用session_regenerate_id()函數并且設置 destroy 參數為 TRUE 時,會調用此回調函數。
* 此回調函數操作成功返回 TRUE,反之返回 FALSE。
*/
public function destroy($session_id) {
$sth = $this->dbh->prepare("DELETE FROM sessions WHERE session_id = ?");
$sth->execute(array($session_id));
return true;
}
/**
* 讀取session時調用
* 如果會話中有數據,read 回調函數必須返回將會話數據編碼(序列化)后的字符串。如果會話中沒有數據,read 回調函數返回空字符串。
*
* 在自動開始會話或者通過調用 session_start() 函數手動開始會話之后,PHP內部調用 read 回調函數來獲取會話數據。在調用 read 之前,PHP會調用 open 回調函數。
*
* read 回調返回的序列化之后的字符串格式必須與 write 回調函數保存數據時的格式完全一致。 PHP 會自動反序列化返回的字符串并填充 $_SESSION 超級全局變量。 雖然數據看起來和 serialize() 函數很相似, 但是需要提醒的是,它們是不同的。
*/
public function read($session_id) {
$sth = $this->dbh->prepare("SELECT session_data FROM sessions WHERE session_id = ?");
$sth->execute(array($session_id));
$rows = $sth->fetchAll(PDO::FETCH_NUM);
if (count($rows) == 0) {
return '';
} else {
return $rows[0][0];
}
}
/**
* 向數據庫中寫入數據
*/
public function write($session_id, $session_data) {
$now = time();
$sth = $this->dbh->prepare("UPDATE sessions SET session_data = ?,last_update = ? WHERE session_id = ?");
$sth->execute(array($session_data, $now, $session_id));
if ($sth->rowCount() == 0) {
$sth2 = $this->dbh->prepare('INSERT INTO sessions (session_id,session_data, last_update) VALUES (?,?,?)');
$sth2->execute(array($session_id, $session_data, $now));
}
}
/**
* 建表
*/
public function createTable($save_path, $name, $connect = true) {
if ($connect) {
$this->connect($save_path, $name);
}
$sql=<<<_SQL_
CREATE TABLE sessions (
session_id VARCHAR(64) NOT NULL,
session_data MEDIUMTEXT NOT NULL,
last_update TIMESTAMP NOT NULL,
PRIMARY KEY (session_id)
)
_SQL_;
$this->dbh->exec($sql);
}
/**
* 連接數據庫
*/
protected function connect($save_path) {
/* 在DSN中查找作為“查詢字符串”參數的用戶和密碼 */
$parts = parse_url($save_path);
if (isset($parts['query'])) {
parse_str($parts['query'], $query);
$user = isset($query['user']) ? $query['user'] : null;
$password = isset($query['password']) ? $query['password'] : null;
$dsn = $parts['scheme'] . ':';
if (isset($parts['host'])) {
$dsn .= '//' . $parts['host'];
}
$dsn .= $parts['path'];
$this->dbh = new PDO($dsn, $user, $password);
} else {
$this->dbh = new PDO($save_path);
}
$this->dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 創(chuàng)建會話表的方法(使用異常處理)
try {
$this->dbh->query('SELECT 1 FROM sessions LIMIT 1');
} catch (Exception $e) {
$this->createTable($save_path, NULL, false);
}
}
}
接下來演示如何將該類與session_set_save_handler()結合,實現在數據庫中存儲session數據。
include __DIR__ . '/db.php';
ini_set('session.save_path', 'sqlite:/tmp/sessions.db');
session_set_save_handler(new DBHandler);
session_start();
if (! isset($_SESSION['visits'])) {
$_SESSION['visits'] = 0;
}
$_SESSION['visits']++;
print 'You have visited here '.$_SESSION['visits'].' times.';
這個代碼塊假設與db.php在同一目錄中,一旦將session.save_path設置為指定的PDO DSN,只需要session_set_save_handler(new DBHandler);就可以將PHP與這個程序關聯起來。在此之后,使用會話的代碼與使用PHP默認處理程序的代碼是一樣的。
關于以上的函數講的并不全面,推薦到 http://php.net/ 去查看詳情。
