すべてのリクエストで Zend_Session の機能を使用してセッション管理したい場合は、 起動ファイルでセッションを開始します。

起動ファイルでセッションを開始する際には、 ヘッダがブラウザに送信される前に確実にセッションが始まるようにします。 そうしないと例外が発生してしまい、おそらくユーザが見るページは崩れてしまうでしょう。 さまざまな高度な機能を使用するには、まず Zend_Session::start() が必要です (高度な機能の詳細については後で説明します)。

Zend_Session を使用してセッションを開始する方法は四通りありますが、 そのうち二つは間違った方法です。

1. 間違い: PHP の » session.auto_start を有効にしてはいけません。 もし mod_php (やそれと同等のもの) を使用しており、 php.ini でこの設定が有効になっている、かつそれを無効にすることができない という場合は、.htaccess ファイル (通常は HTML のドキュメントルートにあります) に以下の内容を追加します。

   1. php_value session.auto_start 0

2. 間違い: PHP の » session_start() 関数を直接使用してはいけません。 session_start() を直接使用した後で Zend_Session_Namespace を使用した場合は、 Zend_Session::start() が例外 ("session has already been started") をスローします。Zend_Session_Namespace を使用するか 明示的に Zend_Session::start() で開始した後で session_start() をコールすると、E_NOTICE が発生し、そのコールは無視されます。

3. 正解: Zend_Session::start() を使用します。 すべてのリクエストでセッションを使用したい場合は、 この関数コールを起動コードの最初のほうで無条件に記述します。 セッションにはある程度のオーバーヘッドがあります。 セッションを使用したいリクエストとそうでないリクエストがある場合は、

   • 起動コード内で、Zend_Session::setOptions() を使用して 無条件にオプション strict を TRUE にします。

   • セッションを必要とするリクエスト内で、 Zend_Session_Namespace のインスタンスを作成する前に Zend_Session::start() をコールします。

   • 通常どおり、必要に応じて "new Zend_Session_Namespace()" を使用します。事前に Zend_Session::start() がコールされていることを確認しておきましょう。

   strict オプションにより、new Zend_Session_Namespace() が自動的に Zend_Session::start() でセッションを開始することがなくなります。 したがって、このオプションを使用すると、アプリケーションの開発者が 特定のリクエストにはセッションを使用しないという設計をおこなうことができます。 このオプションを使用すると、明示的に Zend_Session::start() をコールする前に Zend_Session_Namespace のインスタンスを作成しようとしたときに例外がスローされます。 開発者は、Zend_Session::setOptions() の使用がユーザにどれだけの影響を与えるかを注意するようにしましょう。 これらのオプションは (もととなる ext/session のオプションと同様)、 全体に副作用を及ぼすからです。

4. 正解: 必要に応じて Zend_Session_Namespace のインスタンスを作成します。 PHP のセッションは、自動的に開始されます。 これはもっともシンプルな使用法で、たいていの場合にうまく動作します。 しかし、デフォルトであるクッキーベースのセッション (強く推奨します) を使用している場合には、PHP がクライアントに何らかの出力 (» HTTP ヘッダ など) をする 前に、確実に 最初の new Zend_Session_Namespace() をコールしなければなりません。 詳細は Error: Headers Already Sent を参照ください。

セッション名前空間をロックし、 それ以降その名前空間のデータに手を加えられないようにすることができます。 特定の名前空間を読み取り専用にするには lock() を、そして 読み取り専用の名前空間を読み書きできるようにするには unLock() を使用します。isLocked() を使用すると、 その名前空間がロックされているかどうかを調べることができます。 このロックは一時的なものであり、そのリクエスト内でのみ有効となります。 名前空間をロックしても、その名前空間に保存されているオブジェクトの セッターメソッドには何の影響も及ぼしません。 しかし、名前空間自体のセッターメソッドは使用できず、 名前空間に直接格納されたオブジェクトの削除や置換ができなくなります。同様に、 Zend_Session_Namespace のインスタンスをロックしたとしても、 同じデータをさすシンボルテーブルの使用をとめることはできません (» PHP のリファレンスについての説明も参照ください)。

名前空間およびその中の個々のキーについて、その寿命を制限することができます。 これは、たとえばリクエスト間で一時的な情報を渡す際に使用します。 これにより、認証内容などの機密情報へアクセスできないようにし、 セキュリティリスクを下げます。有効期限の設定は経過秒数によって決めることもできますし、 "ホップ" 数によって決めることもできます。ホップ数とは、 一連のリクエストの回数を表します。

現在のリクエストで期限切れになったデータを扱うにあたり、 データを取得する際には注意が必要です。 データは参照で返されますが、それを変更したとしても 期限切れのデータを現在のリクエストから持ち越すことはできません。 有効期限を "リセット" するには、取得したデータをいったん一時変数に格納し、 名前空間上の内容を削除し、あらためて適切なキーで再設定します。

名前空間を使用すると、コントローラによるセッションへのアクセスの際に 変数の汚染を防ぐこともできます。 たとえば、認証コントローラでは、セキュリティの観点から そのセッション状態データを他のコントローラとは別に管理することになるでしょう。

セッションのロック を利用すれば、名前空間つきセッションデータを予期せず使用してしまうことはある程度防げます。 しかし、Zend_Session_Namespace には、 単一の名前空間内で複数のインスタンスを作成することを防ぐ機能もあります。

この機能を有効にするには、Zend_Session_Namespace のインスタンスを作成する際に、コンストラクタの第二引数に TRUE を渡します。それ以降は、同一名前空間でインスタンスを作成しようとすると例外がスローされます。

上の例では、コンストラクタの第二引数を用いて "Zend_Auth" 名前空間では今後インスタンスを作成させないよう Zend_Session_Namespace に指示しています。 インスタンスを作成しようとすると、コンストラクタから例外がスローされます。 したがって、このセッション名前空間へのアクセスが必要となった場合は、 今後は現在あるインスタンス (上の例の場合なら $authSpaceAccessor1、 $authSpaceAccessor2 あるいは $authSpaceAccessor3) のどれかを使うことになるわけです。 たとえば、名前空間への参照を静的変数に格納したり、 » レジストリ (Zend_Registry を参照ください) に格納したり、 あるいは名前空間へのアクセスを必要とするその他のメソッドで使用したりします。

PHP のマジックメソッドの実装上の理由で、バージョン 5.2.1 より前の PHP では名前空間内の配列の修正ができません。 もし PHP 5.2.1 以降を使っている場合は、このセクションは読み飛ばしてください。

この問題の影響を受けるバージョンの PHP を使っている場合で、 セッション名前空間に代入した後に配列を修正したい場合は、 以下の回避策のうちのいずれかを使用します。

オブジェクトを PHP セッション内で持続的に使用したい場合は、 » シリアライズ を使用します。したがって、PHP セッションから永続オブジェクトを取得したら、 そのシリアライズを解除しなければなりません。 ということは、永続オブジェクトをセッションから読み出す前に、 そのオブジェクトのクラスが定義されていなければならないということです。 クラスが定義されていない場合は、stdClass のオブジェクトとして復元されます。

Zend Framework 自体のテストには PHPUnit を使用しています。 多くの開発者は、このテストスイートを拡張して自分のアプリケーションのコードをテストしています。 ユニットテスト中で、セッションの終了後に書き込み関連のメソッドを使用すると "Zend_Session is currently marked as read-only" という例外がスローされます。しかし、Zend_Session を使用するユニットテストには要注意です。 セッションを閉じたり (Zend_Session::writeClose()) 破棄したり (Zend_Session::destroy()) したら、 それ以降は Zend_Session_Namespace のインスタンスへのキーの設定や削除ができなくなります。 これは、ext/session や、PHP の PHP session_destroy() および session_write_close() の仕様によるものです, これらには、ユニットテストの setup/teardown 時に使用できるような、いわゆる "undo" 機能が備わっていないのです。

この問題の回避策は、 SessionTest.php および SessionTestHelper.php (どちらも tests/Zend/Session にあります) のユニットテストテスト testSetExpirationSeconds() を参照ください。 これは、PHP の exec() によって別プロセスを起動しています。 新しいプロセスが、ブラウザからの二番目以降のリクエストをシミュレートします。 この別プロセスの開始時にはセッションを "初期化" します。 ちょうど、ふつうの PHP スクリプトがウェブリクエストを実行する場合と同じような動作です。 また、呼び出し元のプロセスで $_SESSION を変更すると、 子プロセスでそれが反映されます。親側では exec() を使用する前にセッションを閉じています。