Главная / Zend Manual Core
Базовое использованиеBasic Usage

Расширенное использование

Хотя базовое использование является совершенно допустимым вариантом использования сессий Zend Framework, стоит рассмотреть другие возможности их использования. В этой секции обсуждаются тонкости работы с сессиями и показывается более продвинутое использование компонента Zend_Session.

Запуск сессии

Если вы хотите, чтобы все запросы использовали сессии через Zend_Session, тогда запускайте сессию в файле инициализации (bootstrap):

Example #1 Запуск глобальной сессии

  1. Zend_Session::start();

Запуская сессию в файле инициализации, вы исключаете вероятность её запуска после отправки заголовков браузеру, генерации исключения и возможного отображения испорченой страницы посетителю сайта. Некоторые расширенные возможности так же требуют вызова Zend_Session::start() до начала их использования (Подробнее о расширенных возможностях будет написано позднее.)

Существует четыре способа запустить сессию, используя Zend_Session. Два из них - неправильные.

  1. Неправильно: Не устанавливайте параметр PHP конфигурации » session.auto_start. Если у вас нет возможности отключить этот параметр в php.ini, вы используете mod_php(или аналог), тогда добавьте следующие строки в ваш .htaccess файл (Обычно находится в корневой директории для HTML-документов):

    1. php_value session.auto_start 0
  2. Неправильно: Не используйте вызов PHP функции » session_start() напрямую. Если вы вызываете session_start() напрямую и потом начинаете использовать Zend_Session_Namespace, Zend_Session::start() сгенерирует исключение ("session has already been started"). Если вы вызовете session_start()после использования Zend_Session_Namespace или вызова Zend_Session::start(), то будет сгенерирована ошибка уровня E_NOTICE и вызов будет проигнорирован.

  3. Правильно: Используйте Zend_Session::start(). Если необходимо, чтобы все запросы имели и использовали сессии, то поместите вызов этой функции в коде инициализации близко к точке входа и без условной логики. При этом присутствуют издержки за счет сессий. Если сессии нужны только некоторым запросам, а остальным - нет, то:

    • Установите опцию strict в значение TRUE используя Zend_Session::setOptions() в файле инициализации.

    • Вызывайте Zend_Session::start() только для запросов, которым нужно использовать сессии, до создания любого объекта Zend_Session_Namespace.

    • Используйте "new Zend_Session_Namespace()" как обычно, там где требуется, но убедитесь, что Zend_Session::start() был вызван ранее.

    Опция strict предотвращает автоматический старт сессии с использованием Zend_Session::start() при вызове new Zend_Session_Namespace() Эта опция помогает разработчикам пользовательских приложений следовать принятому при проектировании решению не использовать сессии для определенных запросов, т.к. при установке этой опции и последующем инстанциировании Zend_Session_Namespace до явного вызова Zend_Session::start() будет сгенерировано исключение. Разработчики должны осторожно подходить к использованию Zend_Session::setOptions(), поскольку эти опции имеют глобальную область действия, вследствие их связи с лежащими в основе опциями расширения ext/session.

  4. Правильно: Просто используйте Zend_Session_Namespace где необходимо, и PHP сессия будет запущена автоматически. Это наиболее простой вариант использования, подходящий для большинства случаев. Но необходимо следить зе тем, чтобы первый вызов new Zend_Session_Namespace() происходил до того, как PHP отправит клиенту любые данные(т.е. до того, как агенту пользователя отправлены » HTTP-заголовки), если используется основанные на куки сессии (рекомендуемый вариант). Больше информации можно найти в этой секции.

Блокировка пространств имен сессии

Можно применять блокировку к пространству имен для предотвращения изменения данных в нем. Используйте метод lock() для того, чтобы сделать определенное пространство имен доступным только для чтения, unLock() - чтобы сделать пространство имен доступным для чтения и изменений, а isLocked() - для проверки, не было ли пространство имен заблокировано ранее. Блокировка не сохраняется от запроса к запросу, не действует на методы установки(setter methods) в объектах, сохраненных в этом пространстве имен, но предотвращает использование методов установки для замены или удаления объектов, сохраненных непосредственно в пространстве имен. Аналогично, блокировка экземпляра Zend_Session_Namespace не препятствует использованию ссылок на те же данные (смотри » PHP references).

Example #2 Блокировка пространства имен сессии

  1. $userProfileNamespace = new Zend_Session_Namespace('userProfileNamespace');
  2.  
  3. // помечаем сессию как заблокированную только для чтения
  4. $userProfileNamespace->lock();
  5.  
  6. // снимаем блокировку
  7. if ($userProfileNamespace->isLocked()) {
  8.     $userProfileNamespace->unLock();
  9. }

Время жизни пространства имен

Время жизни может быть ограничено как у пространства имен в целом, так и у отдельных ключей. Общие случаи использованию включают в себя передачу временной информации между запросами и повышение защищенности от определенных угроз безопасности посредством удаления доступа к потенциально чувствительной информации по прошествии некоторого времени после аутентификации. Устаревание может быть основано на количестве секунд или на концепции "прыжков" (hops), в которой "прыжок" происходит при каждом успешном запросе.

Example #3 Примеры установки времени жизни

  1. $s = new Zend_Session_Namespace('expireAll');
  2. $s->a = 'apple';
  3. $s->p = 'pear';
  4. $s->o = 'orange';
  5.  
  6. // время жизни установлено в 5 секунд только для ключа "a"
  7. $s->setExpirationSeconds(5, 'a');
  8.  
  9. // установить время жизни всему пространству имен в 5 "прыжков"
  10. $s->setExpirationHops(5);
  11.  
  12. $s->setExpirationSeconds(60);
  13. // пространство имен "expireAll" будет помечено как истекшее по
  14. // прошествии 60 секунд при ближайшем запросе
  15. // или через 5 "прыжков", в зависимости от того, что произойдет раньше.

При работе с данными, время жизни которых истекает в текущем запросе, будьте внимательны при их извлечении. Несмотря на то, что данные возвращаются по ссылке, изменение этих данных не приведет к их сохранению после текущего запроса. Для сброса истечения времени жизни, извлеките данные во временные переменные, уничтожьте эти данные в пространстве имен и затем установите соответствующий ключ снова.

Инкапсуляция сессий и контроллеры

Пространство имен может быть использовано для разделения доступа контроллеров к сессии, для защиты переменных от повреждения. К примеру, контроллер аутентификации может хранить свои данные в сессии отдельно от всех остальных контроллеров для достижения требований безопасности.

Example #4 Пространства имен сессий с автоматическим устареванием для контроллеров

Следующий код, как часть контроллера, отображающего вопрос в тесте, создает переменную с булевым значением для обозначения, должен ли быть принят ответ на вопрос теста. В данном случае пользователю приложения дается 300 секунд на ответ для отображаемого вопроса.

  1. // ...
  2. // контроллер для вывода вопроса
  3. $testSpace = new Zend_Session_Namespace('testSpace');
  4. // установка времени жизни только для этой переменной
  5. $testSpace->setExpirationSeconds(300, 'accept_answer');
  6. $testSpace->accept_answer = true;
  7. //...

Ниже показан контроллер, обрабатывающий ответы на вопросы теста. Он определяет, принимать ли ответ, на основе того, был ли он отправлен в отведенное время:

  1. // ...
  2. // контроллер обработки ответа
  3. $testSpace = new Zend_Session_Namespace('testSpace');
  4. if ($testSpace->accept_answer === true) {
  5.     // в отведенное время
  6. }
  7. else {
  8.     // больше отведенного времени
  9. }
  10. // ...

Ограничение количества экземпляров на каждое пространство имен

Хотя блокировка сессии предоставляет неплохой уровень защиты против непреднамеренного использования данных сессии в кокретном пространстве имен, Zend_Session_Namespace так же предоставляет возможность предотвратить создание множества экземпляров для одного пространства имен.

Для включения этой возможности, передайте TRUE вторым аргументом конструктора при создании последнего разрешенного экземпляра Zend_Session_Namespace. Любая последующая попытка инстанциации этого пространства имен сгенерирует исключение.

Example #5 Ограничение доступа к пространству имен сессии одним экземпляром

  1. // создаем экземпляр для пространства имен
  2. $authSpaceAccessor1 = new Zend_Session_Namespace('Zend_Auth');
  3.  
  4. // Создание второго экземпляра для пространства имен,
  5. // и запрет на создание новых
  6. $authSpaceAccessor2 = new Zend_Session_Namespace('Zend_Auth', true);
  7.  
  8. // Создание ссылок на существующие возможно
  9. $authSpaceAccessor3 = $authSpaceAccessor2;
  10.  
  11. $authSpaceAccessor1->foo = 'bar';
  12.  
  13. assert($authSpaceAccessor2->foo, 'bar');
  14.  
  15. try {
  16.     $aNamespaceObject = new Zend_Session_Namespace('Zend_Auth');
  17. } catch (Zend_Session_Exception $e) {
  18.     echo 'Cannot instantiate this namespace since ' .
  19.          '$authSpaceAccessor2 was created\n';
  20. }

Второй параметр в конструкторе выше говорит Zend_Session_Namespace, что любые новые экземпляры с пространством имен "Zend_Auth" не разрешены. Попытка создания такого экземпляра вызовет генерацию исключения конструктором. Разработчик сам отвечает за хранение ссылки на экземпляры объектов($authSpaceAccessor1, $authSpaceAccessor2, или $authSpaceAccessor3 в примере выше), если в дальнейшем при обработке того же запроса необходим доступ к этому пространству имен сессии. Например, вы можете сохранять экземпляр в статической переменной или передавать его » реестру (смотри Zend_Registry), или передавать его другим методам, которым нужен доступ к данному пространству имен.

Работа с массивами

Всвязи с историей реализаций магических методов в PHP, изменение массивов внутри пространства имен может не работать при версиях PHP меньше 5.2.1. Если вы будете работать только с версиями PHP 5.2.1 или более поздними, тогда вы можете перейти к следующей секции.

Example #6 Изменение данных массивов с помощью Zend_Session_Namespace

Далее показано, как эта проблема может быть воспроизведена:

  1. $sessionNamespace = new Zend_Session_Namespace();
  2. $sessionNamespace->array = array();
  3.  
  4. // может не работать, как ожидается, в версиях PHP до 5.2.1
  5. $sessionNamespace->array['testKey'] = 1;
  6. echo $sessionNamespace->array['testKey'];

Example #7 Формирование массива до сохранения в сессию

Если возможно, всецело избегайте данной проблемы, сохраняя массивы в пространство имен сессии только после того, как все необходимые значения были установлены.

  1. $sessionNamespace = new Zend_Session_Namespace('Foo');
  2. $sessionNamespace->array = array('a', 'b', 'c');

Если вы используете подверженную проблеме версию PHP и необходимо изменить массив после его сохранения в пространстве имен сессии, вы можете использовать оба или один из следующих обходных путей:

Example #8 Обходной путь: Пересохранение измененного массива

В последующем коде создается копия сохраненного массива, изменяется и сохраняется обратно, перезаписывая оригинал.

  1. $sessionNamespace = new Zend_Session_Namespace();
  2.  
  3. // устанавливаем исходный массив
  4. $sessionNamespace->array = array('tree' => 'apple');
  5.  
  6. // делаем копию массива
  7. $tmp = $sessionNamespace->array;
  8.  
  9. // изменяем копию массива
  10. $tmp['fruit'] = 'peach';
  11.  
  12. // устанавливаем копию массива обратно в пространство имен сессии
  13. $sessionNamespace->array = $tmp;
  14.  
  15. echo $sessionNamespace->array['fruit']; // выводит "peach"

Example #9 Обходной путь: Сохранение массива, содержащего ссылку

В качестве альтернативы, сохраниение массива, содержащего ссылку на интересующий массив, с его последующим непрямым изменением:

  1. $myNamespace = new Zend_Session_Namespace('myNamespace');
  2. $a = array(1, 2, 3);
  3. $myNamespace->someArray = array( &$a );
  4. $a['foo'] = 'bar';
  5. echo $myNamespace->someArray['foo']; // выводит "bar"

Использование сессии с объектами

Если вы планируете хранить объекты в PHP сессии, имейте в виду, что они будут » сериализованы для сохранения. Таким образом, любые объекты, сохраненные в PHP сессии, должны быть десериализованы при извлечении из хранилища. Подразумевается что разработчик должен обеспечить определение классов для сохраненных объектов до десериализации объекта из сессионного хранилища. Если класс десериализуемого объекта не определен, он становится экземпляром stdClass.

Использование сессии с юнит тестами

Zend Framework опирается на PHPUnit для облегчения своего тестирования. Многие разработчики расширяют существующий набор юнит тестов для покрытия кода в их приложении. Если во время выполнения юнит тестирования после закрытия сессии происходит попытка использования пишущих в сессию методов, генерируется исключение "Zend_Session is currently marked as read-only (Zend_Session в данный момент помечен как только для чтения)". Однако Zend_Session требует особое внимание, так как закрытие ( Zend_Session::writeClose()), или уничтожение ( Zend_Session::destroy()) сессии предотвращает дальнейшую установку или удаление ключей в любом экземпляре Zend_Session_Namespace. Это поведение - прямой результат используемого механизма ext/session, методов session_destroy() и session_write_close() в PHP, которые не имеют механизма "отменить" для выполнения настройки/сброса юнит теста.

Для обхода этой проблемы, смотри метод testSetExpirationSeconds() юнит тестов в SessionTest.php и SessionTestHelper.php. Оба находятся в tests/Zend/Session. Они используют функцию PHP - exec() для запуска отдельного процесса. Новый процесс более точно симулирует второй, последующий, запрос от браузера. Отдельный процесс стартует с "чистой" сессией, как любое другое выполнение PHP скрипта по web запросу. Также, любые изменения в $_SESSION сделанные в вызывающем процессе становятся доступны дочернему процессу, при условии что родитель закрыл сессию до вызова exec().

Example #10 PHPUnit тестирование кода, зависимого от Zend_Session

  1. // тестирование setExpirationSeconds()
  2. $script = 'SessionTestHelper.php';
  3. $s = new Zend_Session_Namespace('space');
  4. $s->a = 'apple';
  5. $s->o = 'orange';
  6. $s->setExpirationSeconds(5);
  7.  
  8. Zend_Session::regenerateId();
  9. $id = Zend_Session::getId();
  10. session_write_close(); // освобождаем сессию для процесса ниже
  11. sleep(4); // недостаточно долго для истекания сессии
  12. exec($script . "expireAll $id expireAll", $result);
  13. $result = $this->sortResult($result);
  14. $expect = ';a === apple;o === orange;p === pear';
  15. $this->assertTrue($result === $expect,
  16.     "iteration over default Zend_Session namespace failed; " .
  17.     "expecting result === '$expect', but got '$result'");
  18.  
  19. sleep(2); // достаточно для истекания сессии(всего 6 секунд
  20.           // ожидания, но истекла за 5)
  21. exec($script . "expireAll $id expireAll", $result);
  22. $result = array_pop($result);
  23. $this->assertTrue($result === '',
  24.     "iteration over default Zend_Session namespace failed; " .
  25.     "expecting result === '', but got '$result')");
  26. session_start(); // Восстанавливаем искусственно остановленную сессию
  27.  
  28. // Мы можем выделить это в отдельный тест, но на самом деле, если
  29. // какие-либо остатки от теста выше загрязняют тест ниже, это тоже баг,
  30. // о котором мы хотели бы знать.
  31. $s = new Zend_Session_Namespace('expireGuava');
  32. $s->setExpirationSeconds(5, 'g'); // теперь устанавливаем время жизни только
  33.                                   // одному ключу в пространстве имен сессии
  34. $s->g = 'guava';
  35. $s->p = 'peach';
  36. $s->p = 'plum';
  37.  
  38. session_write_close(); // освобождаем сессию для процесса ниже
  39. sleep(6); // недостаточно долго для истекания сессии
  40. exec($script . "expireAll $id expireGuava", $result);
  41. $result = $this->sortResult($result);
  42. session_start(); // Восстанавливаем искусственно остановленную сессию
  43. $this->assertTrue($result === ';p === plum',
  44.     "iteration over named Zend_Session namespace failed (result=$result)");

Базовое использованиеBasic Usage