Fortgeschrittene Benutzung

Wärend die Beispiele für die Basisnutzung völlig akzeptierbar sind, in ihrem Weg Zend Framework Sessions zu Benutzen, ist auch die beste Praxis zu bedenken. Diese Sektion beschreibt die näheren Details von Session Handling und illustriert die fortgeschrittene Benutzung der Zend_Session Komponente.

Starten einer Session

Wenn man alle Anfragen einer Session durch Zend_Session bearbeitet haben will, muß die Session in der Bootstrap Datei gestartet werden:

Example #1 Starten einer globalen Session

  1. Zend_Session::start();

Durch das Starten der Session in der Bootstrap Datei verhindert man das die Session gestartet werden könnte nachdem die Header an den Browser gesendet wurde, was zu einer Ausnahme und möglicherweise zu einer fehlerhaften Seiten im Browser führen würde. Viele gehobenen Features benötigen zuerst Zend_Session::start(). (Mehr dazu später in den gehobenen Features)

Es gibt vier Wege eine Session zustarten wenn Zend_Session verwendet wird. Zwei sind falsch.

  1. Falsch: PHP's » session.auto_start Einstellung darf nicht eingeschaltet werden. Wenn keine Möglichkeit besteht diese Einstellung in php.ini zu deaktivieren, und mod_php (oder ähnliches) verwendet wird, und die Einstellung schon in php.ini aktiviert ist, kann das folgende in der .htaccess Datei (normalerweise im HTML Dokumenten Basisverzeichnis) hinzugefügt werden:

    1. php_value session.auto_start 0
  2. Falsch: PHP's » session_start() Funktion darf nicht direkt verwendet werden. Wenn session_start() direkt, und anschließend Zend_Session_Namespace verwendet wird, wird von Zend_Session::start() eine Ausnahme geworfen ("session has already been started"). Wenn Zend_Session::start() ausgerufen wird, nachdem Zend_Session_Namespace verwendet wird oder Zend_Session::start() explizit verwendet wird, wird ein Fehler vom Level E_NOTICE erzeugt und der Aufruf wird ignoriert.

  3. Richtig: Verwenden von Zend_Session::start(). Wenn es gewünscht ist, das alle Anfragen eine Session haben und verwenden, sollte diese Funktion sehr früh, direkt und entscheidungslos in der Bootstrap Datei aufgerufen werden. Session haben einigen Overhead. Wenn einige Anfragen Sessions benötigen aber andere Anfragen keine Sessions verwenden, dann:

    • Entscheidungslos, die strict Option auf TRUE setzen durch Verwendung von Zend_Session::setOptions() in der Bootstrap Datei.

    • Aufruf von Zend_Session::start() nur für die Anfragen die eine Session verwenden müssen und vor jeglichen Zend_Session_Namespace initiiert werden.

    • Normales verwenden von "new Zend_Session_Namespace()" wo es benötigt wird, aber sicherstellen das davor Zend_Session::start() ausgerufen wurde.

    Die Option strict verhindert das new Zend_Session_Namespace() automatisch eine Session startet und dabei Zend_Session::start() verwendet. Deshalb hilft diese Option Anwendungs Entwicklern, sich für ein Design entscheiden zu können welches verhindert das für bestimmte Anfragen Sessions verwendet werden, da es eine Ausnahme verursachen würde wenn Zend_Session_Namespace instanziiert wird, bevor Zend_Session::start() aufgerufen wird. Entwickler sollten vorsichtig entscheiden welchen Einfluß die Verwendung von Zend_Session::setOptions() hat, da diese Optionen globale Seiteneffekte hat, in Folge der Korrespondenz der darunterliegenden Optionen für ext/session.

  4. Richtig: Einfach new Zend_Session_Namespace() instanzieren wo dies auch immer notwendig ist, und die darunterliegende PHP Session wird automatisch gestartet. Das bietet eine extrem simple Handhabung die in den meisten Situationen gut funktioniert. Trotzdem ist man dann dafür verantwortlich darauf zu schauen dass das erste new Zend_Session_Namespace() passiert bevor irgendeine Ausgabe (z.B. » HTTP headers ) von PHP an den Client gesendet wird, wenn standardmäßige, Cookie-basierte Sessions verwendet werden (sehr empfehlenswert). Siehe dieses Kapitel für weitere Informationen.

Gesperrte Session Namensräume

Session Namensräume können gesperrt werden um weitere Veränderungen der Daten in diesem Namensraum zu verhindern. Die Verwendung von lock() macht einen speziellen Namensraum nur-lesbar, unLock() macht einen nur-lesbaren Namensraum les- und schreibbar, und isLocked() prüft ob ein Namensraum vorher gesperrt wurde. Sperren sind flüchtig und bestehen nicht von einer Anfrage zur nächsten. Die Sperre des Namensraumes hat keinen Effekt auf Setz-Methoden von Objekten welche im Namensraum gespeichert sind, aber sie verhindert die Verwendung der Setz-Methoden des Namensraumes welche das gespeicherte Objekt direkt im Namensraum löschen oder ersetzen. Gleichwohl verhindert das Sperren von Zend_Session_Namespace Instanzen nicht die Verwendung von symbolischen Tabellen-Aliasen auf die gleichen Daten (siehe » PHP references).

Example #2 Sperren von Session Namensräumen

  1. $userProfileNamespace = new Zend_Session_Namespace('userProfileNamespace');
  2.  
  3. // marking session as read only locked
  4. $userProfileNamespace->lock();
  5.  
  6. // unlocking read-only lock
  7. if ($userProfileNamespace->isLocked()) {
  8.     $userProfileNamespace->unLock();
  9. }

Verfall von Namensräumen

Limits können plaziert werden an der Lebensdauer von beidem, Namensräumen und individuellen Schlüsseln in Namensräumen. Normale Anwendungsfälle beinhalten das Durchlaufen von temporären Informationen zwischen Anfragen, und das vermindern der Aufdeckung von vielfältigen Sicherheitsrisiken durch das Entfernen des Zugangs zu potentiell sensitiven Informationen, manchmal nachdem Authentifizierung stettgefunden hat. Das Ende kann entweder auf abgelaufenen Sekunden oder der Anzahl von "Sprüngen" basieren, wobei ein Sprung für jede folgende Anfrage stattfindet.

Example #3 Beispiel für den Verfall

  1. $s = new Zend_Session_Namespace('expireAll');
  2. $s->a = 'Apfel';
  3. $s->p = 'Pfirsich';
  4. $s->o = 'Orange';
  5.  
  6. $s->setExpirationSeconds(5, 'a'); // Der Schlüssel "a" läuft in 5 Sekunden ab
  7.  
  8. // Der komplette Namensraum läuft in 5 "Sprüngen"
  9. $s->setExpirationHops(5);
  10.  
  11. $s->setExpirationSeconds(60);
  12. // Der "expireAll" Namensraum wird als "abgelaufen" markiert
  13. // sobald der erste Aufruf empfangen wurde und 60 Sekunden
  14. // vergangen sind, oder in 5 Sprüngen, was auch immer zuerst stattfindet

Wenn mit Daten einer Session gearbeitet wird, die in der aktuellen Anfrage ablaufen, sollte Vorsicht beim Empfangen dieser Daten gehalten werden. Auch wenn diese Daten durch Referenz zurückgegeben werden, wird die Änderung derselben, diese Daten nicht über diese Abfrage hinweg gültig machen. Um die Zeit für das Ablaufen "zurückzusetzen", müssen die Daten in eine temporäre Variable geholt werden, diese im Namensraum entfernt und anschliessend der entsprechende Schlüssel wieder gesetzt werden.

Kapseln von Sessions und Controller

Namensräume können auch verwendet werden um den Zugriff auf Sessions durch Controller zu seperieren um Variablen vor Kontaminierung zu schützen. Zum Beispiel könnte ein Authentifizierungs Controller seine Session Daten von allen anderen Controllern separat halten um notwendigen Sicherheiten zu entsprechen.

Example #4 Session Namensräume für Controller mit automatischem Verfall

Der folgende Code ist Teil eines Controllers der die Test Frage anzeigt und eine boolsche Variable initialisiert die anzeigt ob eine geschickte Antwort zur Test Frage akzeptiert werden sollte oder nicht. In diesem Fall wird dem Benutzer der Anwendung 300 Sekunden Zeit gegeben die angezeigte Frage zu beantworten.

  1. // ...
  2. // Im Frage-View Controller
  3. $testSpace = new Zend_Session_Namespace('testSpace');
  4. $testSpace->setExpirationSeconds(300, 'accept_answer');
  5. // Nur diese Variable ablaufen lassen
  6. $testSpace->accept_answer = true;
  7. //...

Danach bestimmt der Controller der die Antworten für die Test Fragen bearbeitet ob eine Antwort akzeptiert wird oder nach basierend darauf ob der Benutzer die Antwort in der erlaubten Zeit übermittelt hat:

  1. // ...
  2. // Im Frage-Prozess Controller
  3.  $testSpace = new Zend_Session_Namespace('testSpace');
  4.  if ($testSpace->accept_answer === true) {
  5.      // innerhalb der Zeit
  6.  }
  7.  else {
  8.      // nicht innerhalb der Zeit
  9.  }
  10. // ...

Mehrfache Instanzen pro Namensraum verhindern

Obwohl session locking einen guten Grad von Schutz gegen unerlaubte Verwendung von Session Daten in einem Namensraum bietet, bietet Zend_Session_Namespace auch die Fähigkeit die Erzeugung von mehreren Instanzen zu verhindern die zu einem einzelnen Namensraum korrespondieren.

Um dieses Verhalten einzuschalten, muß TRUE als zweites Argument im Konstruktor angegeben werden wenn die letzte erlaubt Instanz von Zend_Session_Namespace erzeugt wurde. Jeder weitere Versuch den selben Namensraum zu instanzieren wird in einer geworfenen Ausnahme resultieren.

Example #5 Zugriff auf Session Namensräume auf eine einzelne Instanz limitieren

  1. // Eine Instanz eines Namensraumes erstellen
  2. $authSpaceAccessor1 = new Zend_Session_Namespace('Zend_Auth');
  3.  
  4. // Eine weitere Instanz des selben Namensraumes erstellen,
  5. // aber weitere Instanzen verbieten
  6. $authSpaceAccessor2 = new Zend_Session_Namespace('Zend_Auth', true);
  7.  
  8. // Eine Referenz erstellen ist immer noch möglich
  9. $authSpaceAccessor3 = $authSpaceAccessor2;
  10.  
  11. $authSpaceAccessor1->foo = 'bar';
  12.  
  13. assert($authSpaceAccessor2->foo, 'bar');
  14.  
  15. try {
  16.     $aNamespaceObject = new Zend_Session_Namespace('Zend_Auth');
  17. } catch (Zend_Session_Exception $e) {
  18.     echo 'Dieser Namensraum kann nicht instanziert werden da ' .
  19.          '$authSpaceAccessor2 erstellt wurde\n';
  20. }

Der zweite Parameter oben im Konstruktor sagt Zend_Session_Namespace das alle zukünftigen Instanzen mit dem Zend_Auth Namensraum nicht erlaubt sind. Der Versuch solche Instanzen zu erstellen verursacht eine Ausnahme die vom Konstruktor geworfen wird. Der Entwickler wird darauf aufmerksam gemacht eine Referenz zu einer Instanz des Objektes irgendwo zu speichern ($authSpaceAccessor1, $authSpaceAccessor2, oder $authSpaceAccessor3 im obigen Beispiel), wenn der Zugriff auf den Namensraum der Session zu einer späteren Zeit während des selben Requests benötigt wird. Zum Beispiel, könnte ein Entwickler die Referenz in einer statischen Variable speichern, die Referenz zu einer » Registry hinzufügen (siehe Zend_Registry), oder diese andernfalls für andere Methoden verfügbar zu machen die Zugriff auf den Namensraum der Session benötigen.

Arbeiten mit Arrays

Durch die Vergangenheit der Implmentationen der Magischen Methoden in PHP, wird das Ändern von Arrays innerhalb eines Namensraumes nicht unter PHP Versionen vor 5.2.1 funktionieren. Wenn nur mit PHP 5.2.1 oder neuer gearbeitet wird, kann zum nächsten Kapitel gesprungen werden.

Example #6 Array Daten innerhalb eines Session Namensraumes verändern

Das folgende illustriert wie das Problem reproduziert werden kann:

  1. $sessionNamespace = new Zend_Session_Namespace();
  2. $sessionNamespace->array = array();
  3. // wird nicht wie gewünscht funktionieren vor PHP 5.2.1
  4. $sessionNamespace->array['testKey'] = 1;
  5. echo $sessionNamespace->array['testKey'];

Example #7 Arrays erstellen bevor es Session Speicher gab

Wenn möglich, sollte das Problem vermieden werden indem Array nur dann im Session Namensraum gespeichert werden nachdem alle gewünschten Arraywerte gesetzt wurden.

  1. $sessionNamespace = new Zend_Session_Namespace('Foo');
  2. $sessionNamespace->array = array('a', 'b', 'c');

Wenn eine betroffene Version von PHP verwendet wird and ein Array modifiziert werden soll nachdem es mit einem Schlüssel für den Session Namensraum verbunden wurde, kann einer oder beide der folgenden Workarounds verwendet werden.

Example #8 Workaround: Ein geändertes Array neu Verbinden

Im folgenden Code wird eine Kopie des gespeicherten Array erstellt, geändert und wieder dem Platz von dem die Kopie erstellt wurde zugeordnet wobei das originale Array überschrieben wird.

  1. $sessionNamespace = new Zend_Session_Namespace();
  2.  
  3. // Das ursprüngliche Array hinzufügen
  4. $sessionNamespace->array = array('tree' => 'apple');
  5.  
  6. // Eine Kopie des Arrays erstellen
  7. $tmp = $sessionNamespace->array;
  8.  
  9. // Die Kopie des Arrays ändern
  10. $tmp['fruit'] = 'peach';
  11.  
  12. // Die Kopie des Arrays wieder mit dem Namensraum der Session verknüpfen
  13. $sessionNamespace->array = $tmp;
  14.  
  15. echo $sessionNamespace->array['fruit']; // gibt "peach" aus

Example #9 Workaround: Array das Referenz enthält speichern

Alternativ, kann ein Array gespeichert werden das eine Referenz zum gewünschten Array enthält, die auf dieses dann indirekt zugegriffen werden.

  1. $myNamespace = new Zend_Session_Namespace('myNamespace');
  2. $a = array(1, 2, 3);
  3. $myNamespace->someArray = array( &$a );
  4. $a['foo'] = 'bar';
  5. echo $myNamespace->someArray['foo']; // gibt "bar" aus

Sessions mit Objekten verwenden

Wenn Objekte in einer PHP Session fixiert werden sollen, muß bedacht werden das diese für das Speichern » serialisiert werden. Deshalb muß jedes Objekt das in einer PHP Session verewigt wurde deserialisiert werden nachdem es vom Speicher empfangen wurde. Das impliziert das der Entwickler sicherstellen muß das die Klassen für das verewigte Objekt definiert werden müssen bevor das Objekt vom Session Speicher deserialisiert wird. Wenn die Klasse eines unserialisierten Objektes nicht definiert wurde, wird es eine Instand von stdClass.

Verwenden von Sessions mit Unit Tests

Zend Framework vertraut auf PHPUnit um das Testen von sich selbst zu ermöglichen. Viele Entwickler erweitern die existierende Sammlung von Unit Tests um den Code in deren Anwendungen anzudecken. Die Ausnahme "Zend_Session ist aktuell als nur-lesbar markiert" wird geworfen während Unit Tests durchgeführt werden, wenn irgendeine schreibende Methode verwendet wird nachdem Ende der Session. Trotzdem benötigen Unit Tests die Zend_Session verwenden besondere Aufmerksamkeit weil das Schließen ( Zend_Session::writeClose()) oder Zerstören einer Session ( Zend_Session::destroy()) weitere Änderungen oder Rücknahmen von Schlüsseln in jeder Instanz von Zend_Session_Namespace verhindert. Dieses Verhalten ist ein direktes Resultat des darunterliegenden ext/session Mechanismus und PHP's session_destroy() und session_write_close() welche keinen "rückgängig machen" Mechanismus unterstützen um Setup/Teardown innerhalb der Unit Tests zu unterstützen.

Um das Umzuarbeiten, siehe den Unit Test testSetExpirationSeconds() in SessionTest.php und SessionTestHelper.php, beide im tests/Zend/Session Verzeichnis, welche PHP's exec() verwenden um einen eigenständigen Prozess zu starten. Der neue Prozess simuliert eine zweite Anfrage eines Browsers, viel genauer. Der separate Prozess beginnt mit einer "reinen" Session, genauso wie jede PHP Skript Ausführung für eine Web Anfrage. Auch jede Änderung in $_SESSION welche im aufrufenden Prozess gemacht wurde, ist im Kind-Prozess verfügbar, ermöglicht wenn der Elternprozess die Session beendet hat, bevor exec() verwendet wird.

Example #10 PHPUnit Test Code der auf Zend_Session beruht

  1. // testen von setExpirationSeconds()
  2. $script = 'SessionTestHelper.php';
  3. $s = new Zend_Session_Namespace('space');
  4. $s->a = 'apple';
  5. $s->o = 'orange';
  6. $s->setExpirationSeconds(5);
  7.  
  8. Zend_Session::regenerateId();
  9. $id = Zend_Session::getId();
  10. // Session freigeben damit der untere Prozess Sie verwenden kann
  11. sleep(4); // nicht lange genug damit die Dinge ablaufen
  12. exec($script . "expireAll $id expireAll", $result);
  13. $result = $this->sortResult($result);
  14. $expect = ';a === apfel;o === orange;p === pfirsich';
  15. $this->assertTrue($result === $expect,
  16.     "Iterierung durch standard Zend_Session Namensraum fehlgeschlagen; " .
  17.     "erwartet result === '$expect', aber '$result' bekommen");
  18. sleep(2); // lange genug damit die Dinge ablaufen (insgesamt 6 Sekunden
  19.           // warten, aber nach 5 Sekunden abgelaufen)
  20. exec($script . "expireAll $id expireAll", $result);
  21. $result = array_pop($result);
  22. $this->assertTrue($result === '',
  23.     "Iterierung durch standard Zend_Session Namensraum fehlgeschlagen; " .
  24.     "erwartet result === '', aber '$result' bekommen)");
  25. session_start(); // wiederherstellen der vorher eingefrorenen Session
  26.  
  27. // Das könnte in einen separaten Test abgeteilt werden, aber aktuell, wenn
  28. // irgendwas vom darüberleigenden Test den darunterliegenden Test
  29. // kontaminiert, ist das auch ein Fehler den wir wissen wollen.
  30. $s = new Zend_Session_Namespace('expireGuava');
  31. $s->setExpirationSeconds(5, 'g'); // Versuch nur einen Schlüssel im
  32.                                   // Namensraum ablaufen zu lassen
  33. $s->g = 'guava';
  34. $s->p = 'peach';
  35. $s->p = 'plum';
  36.  
  37. // Session auflösen damit der untere Prozess sie verwenden kann
  38. sleep(6); // Nicht lange genug damit die Dinge ablaufen können
  39. exec($script . "expireAll $id expireGuava", $result);
  40. $result = $this->sortResult($result);
  41. session_start(); // Die bestimmte Session wiederherstellen
  42. $this->assertTrue($result === ';p === plum',
  43.     "Iterierung durch benannte Zend_Session Namensräume " .
  44.     "fehlgeschlaten (result=$result)");
blog comments powered by Disqus