セッション処理

目次

SessionHandler クラス

はじめに

SessionHandler は特殊なクラスで、 これを継承したクラスを作れば PHP が内部的に使っているセッション保存ハンドラを拡張できます。 このクラスには七つのメソッドがあり、それぞれが七つのセッション保存ハンドラコールバック (open, close, read, write, destroy, gc および create_sid) に対応しています。デフォルトでは、このクラスは session.save_handler で定義された内部セッションハンドラをラップします。 通常は files がデフォルトになっています。 それ以外には、PHP の拡張モジュールとして提供されている SQLite (sqlite) や Memcache (memcache) そして Memcached (memcached) が使えます。

SessionHandler のインスタンスを session_set_save_handler でハンドラとして指定すると、 そのインスタンスが現在の保存ハンドラをラップします。 SessionHandler を継承したクラスを作ると、 親クラスのメソッド、つまり PHP の内部セッションハンドラのメソッドをラップして オーバーライドしたり処理を割り込ませたりフィルタをかけたりできるようになります。

これを利用すると、たとえば readwrite メソッドに処理を割り込ませ、セッションデータの暗号化/復号の処理を追加することができます。 あるいは、ガベージコレクションコールバック gc を完全に自前の処理で置き換えてしまうこともできます。

SessionHandler は現在の内部保存ハンドラのメソッドをラップしているので、 先述の暗号化の例は任意の保存ハンドラに適用することができます。その際に、ハンドラの内部的な動きを知っておく必要はありません。

このクラスを使うには、まず最初に公開したいハンドラを session.save_handler で設定してから、 SessionHandler あるいはそれを継承したクラスのインスタンスを session_set_save_handler に渡します。

このクラスのコールバックメソッドは PHP が内部的にコールするものであり、 ユーザーのコードから呼ばれることは想定していないことに注意しましょう。 コールバックの戻り値も、PHP が内部的に利用するだけです。 セッションの処理の流れについての詳しい情報は session_set_save_handler を参照ください。

クラス概要

SessionHandler
implements SessionHandlerInterface SessionIdInterface
/* メソッド */
public bool close()
public string create_sid()
public bool destroy(string $id)
public intfalse gc(int $max_lifetime)
public bool open(string $path, string $name)
public stringfalse read(string $id)
public bool write(string $id, string $data)
警告

このクラスは現在の PHP 内部セッション保存ハンドラを公開するように作られています。 自作の保存ハンドラを用意したい場合は、SessionHandler を継承するのではなく SessionHandlerInterface を実装したクラスを作るようにしましょう。

例1 SessionHandler を使って PHP の保存ハンドラに暗号化機能を追加する例

<?php

 
/**
  * decrypt AES 256
  *
  * @param data $edata
  * @param string $password
  * @return decrypted data
  */
function decrypt($edata$password) {
    
$data base64_decode($edata);
    
$salt substr($data016);
    
$ct substr($data16);

    
$rounds 3// キーの長さに依存します
    
$data00 $password.$salt;
    
$hash = array();
    
$hash[0] = hash('sha256'$data00true);
    
$result $hash[0];
    for (
$i 1$i $rounds$i++) {
        
$hash[$i] = hash('sha256'$hash[$i 1].$data00true);
        
$result .= $hash[$i];
    }
    
$key substr($result032);
    
$iv  substr($result32,16);

    return 
openssl_decrypt($ct'AES-256-CBC'$keytrue$iv);
  }

/**
 * crypt AES 256
 *
 * @param data $data
 * @param string $password
 * @return base64 encrypted data
 */
function encrypt($data$password) {
    
// 暗号学的にセキュアな、ランダムなソルト値を、random_bytes() を使って生成します。
    
$salt random_bytes(16);

    
$salted '';
    
$dx '';
    
// Salt the key(32) and iv(16) = 48
    
while (strlen($salted) < 48) {
      
$dx hash('sha256'$dx.$password.$salttrue);
      
$salted .= $dx;
    }

    
$key substr($salted032);
    
$iv  substr($salted32,16);

    
$encrypted_data openssl_encrypt($data'AES-256-CBC'$keytrue$iv);
    return 
base64_encode($salt $encrypted_data);
}

class 
EncryptedSessionHandler extends SessionHandler
{
    private 
$key;

    public function 
__construct($key)
    {
        
$this->key $key;
    }

    public function 
read($id)
    {
        
$data parent::read($id);

        if (!
$data) {
            return 
"";
        } else {
            return 
decrypt($data$this->key);
        }
    }

    public function 
write($id$data)
    {
        
$data encrypt($data$this->key);

        return 
parent::write($id$data);
    }
}

// この例では標準の 'files' ハンドラを横取りしていますが、他のネイティブハンドラである
// PHP 拡張モジュール 'sqlite'、'memcache'、'memcached'
// の場合でもまったく同じように使えます。
ini_set('session.save_handler''files');

$key 'secret_string';
$handler = new EncryptedSessionHandler($key);
session_set_save_handler($handlertrue);
session_start();

// $_SESSION への値の設定や格納されている値の取得を進めます

注意:

このクラスのメソッドは、セッション処理の一環として PHP が内部的にコールするためのものとして作られています。 そのため、子クラスから親のメソッド (実際のネイティブハンドラ) をコールすると、 (自動で開始するか、あるいは session_start を実行するなどして) セッションを実際に開始していない限りはその戻り値が false となります。 この点は、ユニットテストを書く際に注意が必要です。というのも、 ユニットテストではクラスのメソッドを手動でコールする可能性があるからです。

SessionHandlerInterface クラス

はじめに

SessionHandlerInterface は カスタムセッションハンドラを作成する際の最低限のプロトタイプを定義したインターフェイスです。 自作のセッションハンドラを オブジェクト指向型 の起動方法で session_set_save_handler に渡すために、このインターフェイスを実装することができます。

このクラスのコールバックメソッドは PHP が内部的にコールするものであり、 ユーザーのコードから呼ばれることは想定していないことに注意しましょう。

インターフェイス概要

SessionHandlerInterface
/* メソッド */
public bool SessionHandlerInterface::close()
public bool SessionHandlerInterface::destroy(string $id)
public intfalse SessionHandlerInterface::gc(int $max_lifetime)
public bool SessionHandlerInterface::open(string $path, string $name)
public stringfalse SessionHandlerInterface::read(string $id)
public bool SessionHandlerInterface::write(string $id, string $data)

例1 SessionHandlerInterface の使用例

この例では、ファイルベースのセッションストレージをつくります。これは PHP のデフォルトのセッション保存ハンドラである files と似たものです。この例をさらに拡張すれば、 PHP がサポートするお好みのデータベースを使ってセッションを保存させるようにするのも簡単です。

session_set_save_handler でオブジェクト指向型のプロトタイプを使っていることと、 シャットダウン関数をその parameter フラグで登録していることに注目しましょう。 オブジェクトをセッション保存ハンドラとして使うときには、この方法をおすすめします。

警告

コードを簡潔にするため、以下の例では入力値の検証を省略しています。 しかし、$id パラメータは パストラバーサル問題のような脆弱性を避けるために、 適切な 検証/無害化 が必須になる値です。 よって、ここで示した例を改変することなく、 本番の実環境で用いないでください

<?php
class MySessionHandler implements SessionHandlerInterface
{
    private 
$savePath;

    public function 
open($savePath$sessionName): bool
    
{
        
$this->savePath $savePath;
        if (!
is_dir($this->savePath)) {
            
mkdir($this->savePath0777);
        }

        return 
true;
    }

    public function 
close(): bool
    
{
        return 
true;
    }

    #[
\ReturnTypeWillChange]
    public function 
read($id)
    {
        return (string)@
file_get_contents("$this->savePath/sess_$id");
    }

    public function 
write($id$data): bool
    
{
        return 
file_put_contents("$this->savePath/sess_$id"$data) === false false true;
    }

    public function 
destroy($id): bool
    
{
        
$file "$this->savePath/sess_$id";
        if (
file_exists($file)) {
            
unlink($file);
        }

        return 
true;
    }

    #[
\ReturnTypeWillChange]
    public function 
gc($maxlifetime)
    {
        foreach (
glob("$this->savePath/sess_*") as $file) {
            if (
filemtime($file) + $maxlifetime time() && file_exists($file)) {
                
unlink($file);
            }
        }

        return 
true;
    }
}

$handler = new MySessionHandler();
session_set_save_handler($handlertrue);
session_start();

// $_SESSION への値の設定や格納されている値の取得を進めます

SessionIdInterface クラス

はじめに

SessionIdInterface は カスタムのセッションハンドラを作成するためのオプションのメソッドを定義します。 オブジェクト指向型 の呼び出しを使い、 カスタムのセッションハンドラを session_set_save_handler に渡すために、 このインターフェイスを実装することができます。

このクラスのコールバックメソッドは PHP が内部的にコールするものであり、 ユーザーのコードから呼ばれることは想定していないことに注意しましょう。

インターフェイス概要

SessionIdInterface
/* メソッド */
public string SessionIdInterface::create_sid()

SessionUpdateTimestampHandlerInterface クラス

はじめに

SessionUpdateTimestampHandlerInterface は カスタムセッションハンドラを作成する際の最低限のプロトタイプを定義したインターフェイスです。 自作のセッションハンドラを オブジェクト指向型 の起動方法で session_set_save_handler に渡すために、このインターフェイスを実装することができます。

このクラスのコールバックメソッドは PHP が内部的にコールするものであり、 ユーザーのコードから呼ばれることは想定していないことに注意しましょう。

クラス概要

SessionUpdateTimestampHandlerInterface
/* メソッド */
public bool SessionUpdateTimestampHandlerInterface::updateTimestamp(string $id, string $data)
public bool SessionUpdateTimestampHandlerInterface::validateId(string $id)