Fortgeschrittene BenutzungWärend die Beispiele für die Basisnutzung völlig akzeptierbar sind, in ihrem Weg Zend Framework Sessions zu Benutzen, ist auch die beste Praxis zu bedenken. Diese Sektion beschreibt die näheren Details von Session Handling und illustriert die fortgeschrittene Benutzung der Zend_Session Komponente. Starten einer SessionWenn man alle Anfragen einer Session durch Zend_Session bearbeitet haben will, muß die Session in der Bootstrap Datei gestartet werden: Example #1 Starten einer globalen Session
Durch das Starten der Session in der Bootstrap Datei verhindert man das die Session gestartet werden könnte nachdem die Header an den Browser gesendet wurde, was zu einer Ausnahme und möglicherweise zu einer fehlerhaften Seiten im Browser führen würde. Viele gehobenen Features benötigen zuerst Zend_Session::start(). (Mehr dazu später in den gehobenen Features) Es gibt vier Wege eine Session zustarten wenn Zend_Session verwendet wird. Zwei sind falsch.
Gesperrte Session NamensräumeSession Namensräume können gesperrt werden um weitere Veränderungen der Daten in diesem Namensraum zu verhindern. Die Verwendung von lock() macht einen speziellen Namensraum nur-lesbar, unLock() macht einen nur-lesbaren Namensraum les- und schreibbar, und isLocked() prüft ob ein Namensraum vorher gesperrt wurde. Sperren sind flüchtig und bestehen nicht von einer Anfrage zur nächsten. Die Sperre des Namensraumes hat keinen Effekt auf Setz-Methoden von Objekten welche im Namensraum gespeichert sind, aber sie verhindert die Verwendung der Setz-Methoden des Namensraumes welche das gespeicherte Objekt direkt im Namensraum löschen oder ersetzen. Gleichwohl verhindert das Sperren von Zend_Session_Namespace Instanzen nicht die Verwendung von symbolischen Tabellen-Aliasen auf die gleichen Daten (siehe » PHP references). Example #2 Sperren von Session Namensräumen
Verfall von NamensräumenLimits können plaziert werden an der Lebensdauer von beidem, Namensräumen und individuellen Schlüsseln in Namensräumen. Normale Anwendungsfälle beinhalten das Durchlaufen von temporären Informationen zwischen Anfragen, und das vermindern der Aufdeckung von vielfältigen Sicherheitsrisiken durch das Entfernen des Zugangs zu potentiell sensitiven Informationen, manchmal nachdem Authentifizierung stettgefunden hat. Das Ende kann entweder auf abgelaufenen Sekunden oder der Anzahl von "Sprüngen" basieren, wobei ein Sprung für jede folgende Anfrage stattfindet. Example #3 Beispiel für den Verfall
Wenn mit Daten einer Session gearbeitet wird, die in der aktuellen Anfrage ablaufen, sollte Vorsicht beim Empfangen dieser Daten gehalten werden. Auch wenn diese Daten durch Referenz zurückgegeben werden, wird die Änderung derselben, diese Daten nicht über diese Abfrage hinweg gültig machen. Um die Zeit für das Ablaufen "zurückzusetzen", müssen die Daten in eine temporäre Variable geholt werden, diese im Namensraum entfernt und anschliessend der entsprechende Schlüssel wieder gesetzt werden. Kapseln von Sessions und ControllerNamensräume können auch verwendet werden um den Zugriff auf Sessions durch Controller zu seperieren um Variablen vor Kontaminierung zu schützen. Zum Beispiel könnte ein Authentifizierungs Controller seine Session Daten von allen anderen Controllern separat halten um notwendigen Sicherheiten zu entsprechen. Example #4 Session Namensräume für Controller mit automatischem Verfall Der folgende Code ist Teil eines Controllers der die Test Frage anzeigt und eine boolsche Variable initialisiert die anzeigt ob eine geschickte Antwort zur Test Frage akzeptiert werden sollte oder nicht. In diesem Fall wird dem Benutzer der Anwendung 300 Sekunden Zeit gegeben die angezeigte Frage zu beantworten.
Danach bestimmt der Controller der die Antworten für die Test Fragen bearbeitet ob eine Antwort akzeptiert wird oder nach basierend darauf ob der Benutzer die Antwort in der erlaubten Zeit übermittelt hat:
Mehrfache Instanzen pro Namensraum verhindernObwohl session locking einen guten Grad von Schutz gegen unerlaubte Verwendung von Session Daten in einem Namensraum bietet, bietet Zend_Session_Namespace auch die Fähigkeit die Erzeugung von mehreren Instanzen zu verhindern die zu einem einzelnen Namensraum korrespondieren. Um dieses Verhalten einzuschalten, muß TRUE als zweites Argument im Konstruktor angegeben werden wenn die letzte erlaubt Instanz von Zend_Session_Namespace erzeugt wurde. Jeder weitere Versuch den selben Namensraum zu instanzieren wird in einer geworfenen Ausnahme resultieren. Example #5 Zugriff auf Session Namensräume auf eine einzelne Instanz limitieren
Der zweite Parameter oben im Konstruktor sagt Zend_Session_Namespace das alle zukünftigen Instanzen mit dem Zend_Auth Namensraum nicht erlaubt sind. Der Versuch solche Instanzen zu erstellen verursacht eine Ausnahme die vom Konstruktor geworfen wird. Der Entwickler wird darauf aufmerksam gemacht eine Referenz zu einer Instanz des Objektes irgendwo zu speichern ($authSpaceAccessor1, $authSpaceAccessor2, oder $authSpaceAccessor3 im obigen Beispiel), wenn der Zugriff auf den Namensraum der Session zu einer späteren Zeit während des selben Requests benötigt wird. Zum Beispiel, könnte ein Entwickler die Referenz in einer statischen Variable speichern, die Referenz zu einer » Registry hinzufügen (siehe Zend_Registry), oder diese andernfalls für andere Methoden verfügbar zu machen die Zugriff auf den Namensraum der Session benötigen. Arbeiten mit ArraysDurch die Vergangenheit der Implmentationen der Magischen Methoden in PHP, wird das Ändern von Arrays innerhalb eines Namensraumes nicht unter PHP Versionen vor 5.2.1 funktionieren. Wenn nur mit PHP 5.2.1 oder neuer gearbeitet wird, kann zum nächsten Kapitel gesprungen werden. Example #6 Array Daten innerhalb eines Session Namensraumes verändern Das folgende illustriert wie das Problem reproduziert werden kann: Example #7 Arrays erstellen bevor es Session Speicher gab Wenn möglich, sollte das Problem vermieden werden indem Array nur dann im Session Namensraum gespeichert werden nachdem alle gewünschten Arraywerte gesetzt wurden.
Wenn eine betroffene Version von PHP verwendet wird and ein Array modifiziert werden soll nachdem es mit einem Schlüssel für den Session Namensraum verbunden wurde, kann einer oder beide der folgenden Workarounds verwendet werden. Example #8 Workaround: Ein geändertes Array neu Verbinden Im folgenden Code wird eine Kopie des gespeicherten Array erstellt, geändert und wieder dem Platz von dem die Kopie erstellt wurde zugeordnet wobei das originale Array überschrieben wird.
Example #9 Workaround: Array das Referenz enthält speichern Alternativ, kann ein Array gespeichert werden das eine Referenz zum gewünschten Array enthält, die auf dieses dann indirekt zugegriffen werden. Sessions mit Objekten verwenden
Wenn Objekte in einer PHP Session fixiert werden sollen, muß bedacht
werden das diese für das Speichern » serialisiert
werden. Deshalb muß jedes Objekt das in einer PHP Session verewigt
wurde deserialisiert werden nachdem es vom Speicher empfangen wurde. Das impliziert das
der Entwickler sicherstellen muß das die Klassen für das verewigte Objekt definiert
werden müssen bevor das Objekt vom Session Speicher deserialisiert wird. Wenn die
Klasse eines unserialisierten Objektes nicht definiert wurde, wird es eine Instand von
Verwenden von Sessions mit Unit TestsZend Framework vertraut auf PHPUnit um das Testen von sich selbst zu ermöglichen. Viele Entwickler erweitern die existierende Sammlung von Unit Tests um den Code in deren Anwendungen anzudecken. Die Ausnahme "Zend_Session ist aktuell als nur-lesbar markiert" wird geworfen während Unit Tests durchgeführt werden, wenn irgendeine schreibende Methode verwendet wird nachdem Ende der Session. Trotzdem benötigen Unit Tests die Zend_Session verwenden besondere Aufmerksamkeit weil das Schließen ( Zend_Session::writeClose()) oder Zerstören einer Session ( Zend_Session::destroy()) weitere Änderungen oder Rücknahmen von Schlüsseln in jeder Instanz von Zend_Session_Namespace verhindert. Dieses Verhalten ist ein direktes Resultat des darunterliegenden ext/session Mechanismus und PHP's session_destroy() und session_write_close() welche keinen "rückgängig machen" Mechanismus unterstützen um Setup/Teardown innerhalb der Unit Tests zu unterstützen.
Um das Umzuarbeiten, siehe den Unit Test
testSetExpirationSeconds() in Example #10 PHPUnit Test Code der auf Zend_Session beruht
|