Native-session为代码点火器修改2.1.4 ......这有意义吗？

Question

有没有人看到CI 2.1.4的修改和问题？本课程是为1.7.2（Github link）

编写的

问题：

1. regenerate_id的目的是什么？是会话ID旋转吗？

2. session_write_close的潜在问题（如评论中所示）

3.这个类是否完全实现了CI 2.1.4的会话类？

4.为什么使用sess_expiration而不是sess_time_to_update到期？ （会话cookie在浏览器关闭时到期.sess_time_to_update似乎更适合会话轮换。

5.是否有任何已知的错误？

6.如果我在通配符子网站（site1.domain.com，site2.domain.com等等）上运行应用程序，cookie是否仅适用于该子域？我主要关心的是setcookie(session_name(), '', time()-42000, '/');

<?php  if (!defined('BASEPATH')) exit('No direct script access allowed');
/**
* Session class using native PHP session features and hardened against session fixation.
*
* @package     CodeIgniter
* @subpackage  Libraries
* @category    Sessions
* @author      Dariusz Debowczyk, Matthew Toledo
* @link        http://www.philsbury.co.uk/index.php/blog/code-igniter-sessions/
*/
class CI_Session {

    var $flashdata_key     = 'flash'; // prefix for "flash" variables (eg. flash:new:message)

    function CI_Session()
    {
        $this->object =& get_instance();
        log_message('debug', "Native_session Class Initialized");
        $this->_sess_run();
    }

    /**
    * Regenerates session id
    */
    function regenerate_id()
    {
        // copy old session data, including its id
        $old_session_id = session_id();
        $old_session_data = $_SESSION;

        // regenerate session id and store it
        session_regenerate_id();
        $new_session_id = session_id();

        // switch to the old session and destroy its storage
        session_id($old_session_id);
        session_destroy();

        // switch back to the new session id and send the cookie
        session_id($new_session_id);
        session_start();

        // restore the old session data into the new session
        $_SESSION = $old_session_data;

        // update the session creation time
        $_SESSION['regenerated'] = time();

        // session_write_close() patch based on this thread
        // http://www.codeigniter.com/forums/viewthread/1624/
        // there is a question mark ?? as to side affects

        // end the current session and store session data.
        session_write_close();
    }

    /**
    * Destroys the session and erases session storage
    */
    function destroy()
    {
        unset($_SESSION);
        if ( isset( $_COOKIE[session_name()] ) )
        {
            setcookie(session_name(), '', time()-42000, '/');
        }
        session_destroy();
    }

    /**
    * Alias for destroy(), makes 1.7.2 happy.
    */
    function sess_destroy()
    {
        $this->destroy();
    }

    /**
    * Reads given session attribute value
    */
    function userdata($item)
    {
        if($item == 'session_id'){ //added for backward-compatibility
            return session_id();
        }else{
            return ( ! isset($_SESSION[$item])) ? false : $_SESSION[$item];
        }
    }

    /**
    * Sets session attributes to the given values
    */
    function set_userdata($newdata = array(), $newval = '')
    {
        if (is_string($newdata))
        {
            $newdata = array($newdata => $newval);
        }

        if (count($newdata) > 0)
        {
            foreach ($newdata as $key => $val)
            {
                $_SESSION[$key] = $val;
            }
        }
    }

    /**
    * Erases given session attributes
    */
    function unset_userdata($newdata = array())
    {
        if (is_string($newdata))
        {
            $newdata = array($newdata => '');
        }

        if (count($newdata) > 0)
        {
            foreach ($newdata as $key => $val)
            {
                unset($_SESSION[$key]);
            }
        }
    }

    /**
    * Starts up the session system for current request
    */
    function _sess_run()
    {
        session_start();

        $session_id_ttl = $this->object->config->item('sess_expiration');

        if (is_numeric($session_id_ttl))
        {
            if ($session_id_ttl > 0)
            {
                $this->session_id_ttl = $this->object->config->item('sess_expiration');
            }
            else
            {
                $this->session_id_ttl = (60*60*24*365*2);
            }
        }

        // check if session id needs regeneration
        if ( $this->_session_id_expired() )
        {
            // regenerate session id (session data stays the
            // same, but old session storage is destroyed)
            $this->regenerate_id();
        }

        // delete old flashdata (from last request)
        $this->_flashdata_sweep();

        // mark all new flashdata as old (data will be deleted before next request)
        $this->_flashdata_mark();
    }

    /**
    * Checks if session has expired
    */
    function _session_id_expired()
    {
        if ( !isset( $_SESSION['regenerated'] ) )
        {
            $_SESSION['regenerated'] = time();
            return false;
        }

        $expiry_time = time() - $this->session_id_ttl;

        if ( $_SESSION['regenerated'] <=  $expiry_time )
        {
            return true;
        }

        return false;
    }

    /**
    * Sets "flash" data which will be available only in next request (then it will
    * be deleted from session). You can use it to implement "Save succeeded" messages
    * after redirect.
    */
    function set_flashdata($newdata = array(), $newval = '')
    {
        if (is_string($newdata))
        {
            $newdata = array($newdata => $newval);
        }

        if (count($newdata) > 0)
        {
            foreach ($newdata as $key => $val)
            {
                $flashdata_key = $this->flashdata_key.':new:'.$key;
                $this->set_userdata($flashdata_key, $val);
            }
        }
    }


    /**
    * Keeps existing "flash" data available to next request.
    */
    function keep_flashdata($key)
    {
        $old_flashdata_key = $this->flashdata_key.':old:'.$key;
        $value = $this->userdata($old_flashdata_key);

        $new_flashdata_key = $this->flashdata_key.':new:'.$key;
        $this->set_userdata($new_flashdata_key, $value);
    }

    /**
    * Returns "flash" data for the given key.
    */
    function flashdata($key)
    {
        $flashdata_key = $this->flashdata_key.':old:'.$key;
        return $this->userdata($flashdata_key);
    }

    /**
    * PRIVATE: Internal method - marks "flash" session attributes as 'old'
    */
    function _flashdata_mark()
    {
        foreach ($_SESSION as $name => $value)
        {
            $parts = explode(':new:', $name);
            if (is_array($parts) && count($parts) == 2)
            {
                $new_name = $this->flashdata_key.':old:'.$parts[1];
                $this->set_userdata($new_name, $value);
                $this->unset_userdata($name);
            }
        }
    }

    /**
    * PRIVATE: Internal method - removes "flash" session marked as 'old'
    */
    function _flashdata_sweep()
    {
        foreach ($_SESSION as $name => $value)
        {
            $parts = explode(':old:', $name);
            if (is_array($parts) && count($parts) == 2 && $parts[0] == $this->flashdata_key)
            {
                $this->unset_userdata($name);
            }
        }
    }
}
?>

Answer 1

  

1. regenerate_id的目的是什么？是会话ID旋转吗？

用例是session fixation预防。 NativeSession基于NativeSession :: $ session_id_ttl属性值每X秒重新生成会话ID。它减少了会话劫持的影响，因为被盗的＆＃34;会话ID已过期，并在配置的时间后使用regerate_id（）重新生成。

  

2. session_write_close的潜在问题（如评论中所示）

通常，session_write_close（）用于在会话的所有更改完成后立即取消会话写入锁定。这可能会导致多帧应用加载更快（因为会话写入访问更快）。

您不应该使用session_write_close（）添加行，因为它会阻止会话flashdata机制正常工作。

  

3.这个类是否完全实现了CI 2.1.4的会话类？

不完全是，但应该可以将其用作CI_Session的替代品。我将NativeSession和CI2用于2个生产应用程序，没有任何问题。

如果您正在寻找提供与NativeSession类似功能的受支持CI会话处理程序，请检查CI2 Github是否存在CI_Session_native。我已经查看了代码，看起来它部分基于NativeSession。它还包含一些安全性改进。

  

4.为什么使用sess_expiration而不是sess_time_to_update到期？ （会话cookie在浏览器关闭时到期.sess_time_to_update似乎更适合会话轮换。

您似乎参考了CI2会话机制。

• CI2中的sess_expiration允许设置会话在用户上次活动后到期之前的特定时间（以秒为单位）
• CI2中的sess_time_to_update允许在强制重新生成会话ID时设置用户上次活动后的时间（以秒为单位）

NativeSession是在CI2之前开发的，它使用与CI会话不同的参数。

• session_ttl等同于CI2会话处理程序中的sess_expiration
• session_id_ttl相当于CI2会话处理程序中的sess_time_to_update（NativeSession不关心最后一个用户的活动 - 只计算自上次会话重新生成以来的时间）

  

5.是否有任何已知的错误？

我没有意识到，虽然它当然可能包含错误。

  

6.如果我在通配符子网站（site1.domain.com，site2.domain.com等等）上运行应用程序，cookie是否仅适用于该子域？我主要关注的是setcookie（session_name（） ，＆＃39;＆＃39;，time（） - 42000，＆＃39; /＆＃39;）;

来自PHP docs：＆＃34;可用于较低域名的Cookie，例如＆＃39; example.com＆＃39;将提供更高的子域名，例如www.example.com＆＃39;。＆＃34;

我正在将此代码用于处理子域而没有任何问题的应用程序。