使用专门的会话对象覆盖超全局$_SESSION是否安全?
class SessionObject implements ArrayAccess { ... }
...
// Session data has just been deserialised from store.
$_SESSION = new SessionObject( $session_data );
...
// Using session object...
$_SESSION['key'] = 27;
$x = $_SESSION->get_data('key2', 'default-value');
答案 0 :(得分:6)
虽然这可行,但我不认为这是明智的行为。在我看来,最少意外的原则适用于编程和用户界面设计。如果你在脚本中覆盖$_SESSION的默认行为,那将会让一些未来必须处理你代码的程序员感到困惑。
我认为以这种方式滥用$_SESSION的超全球性,这是一种黑客 - 而且是一种不愉快的方式。
更好的是,在我看来,最好是用静态方法编写一个类来获取和设置数据:
class Session {
public function get($key, $defaultValue = null) {
// do some code to get the value for $key, and return $defaultValue if there is none
}
public function set($key, $value) {
// do some code to set $key
}
}
然后,您可以使用Session::get('someKey')或Session::get('someKey', 'default')和Session::set('someKey', 'someValue')来访问此内容。
由于类本质上是全局的,因此您可以从代码中的任何位置访问它。它不那么令人惊讶,并且会减少混乱。
如果由于某些设计原因确实想使用对象方法,那么最好实现Singleton模式。
答案 1 :(得分:1)
对我来说似乎有点危险。你检查过session_set_save_handler方法了吗?它允许您指定自己的处理程序,而不是尝试覆盖$ _SESSION。
答案 2 :(得分:1)
如果您自己处理会话处理和存储,那么您可以随心所欲地做任何事情。在这方面,$ _SESSION超全局可以像任何其他变量一样使用。
它只是PHP的默认会话处理程序,它专门处理它。它期望在那里有一个正常的数组(并且也不能用数字索引)。如果您想再次使用它,则需要使用关闭调用来撤消奇特的ArrayObject包装:
register_shutdown_function(function(){
$_SESSION = (array)$_SESSION;
});