IT技术博客大学习 共学习 共进步
首页 / PHP

PHP Session的一个警告

风雪之隅 2009-10-29 21:31:40 浏览 3,362 次
标签 Session 警告

警告全文如下:

以下是代码片段:
    PHP Warning:  Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively. in Unknown on

关于这个问题, 网上有多种解决办法, 但都是不知所以然的答案, 那么真正的原因是什么呢, 怎么解决呢?

请首先记住这一点. 在PHP4.2开始, register_globals默认设置为了OFF.

然后,来看一段代码,

以下是代码片段:

session_start();
$name = ’laruence’;
$session[’name’] = null;


上面的代码, 在register_globals打开的情况下, $name就可能是来自POST或者GET的用户提交的用户名..

但是, 在register_globals关闭的情况下, Zend引擎发现你尝试为创建一个在本地符号表存在的变量”name”, 并且值为null, 那么它就会善意的警告你, 你是不是忘记了register_globals关闭的情况下依赖于一个全局变量(确切的说是当前作用域变量)了?

So, that it is~

那么, 它具体给出警告的条件是什么呢? 知道了这些条件, 我们就可以避免这个警告了,

在PHPSRC/ext/session/session.c中, 有我们想要的一切答案:

以下是代码片段:
static void php_session_save_current_state(TSRMLS_D) /* {{{ */
{
    int ret = FAILURE;

    IF_SESSION_VARS() {
        //如果存在Session数组
        if (PS(bug_compat) && !PG(register_globals)) {
            HashTable *ht = Z_ARRVAL_P(PS(http_session_vars));
            HashPosition pos;
            zval **val;
            int do_warn = 0;

            zend_hash_internal_pointer_reset_ex(ht, &pos);

            while (zend_hash_get_current_data_ex(ht, (void **) &val, &pos) != FAILURE) {
                if (Z_TYPE_PP(val) == IS_NULL) { //变量为null
                    if (migrate_global(ht, &pos TSRMLS_CC)) {//当前符号表中有同名变量
                        do_warn = 1;
                    }
                }
                zend_hash_move_forward_ex(ht, &pos);
            }

            if (do_warn && PS(bug_compat_warn)) {
                php_error_docref(NULL TSRMLS_CC, E_WARNING, "Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively");
    //后面省略
 

首先, 如果session.bug_compat_42是打开并且register_globals关闭的情况下.

然后,如果这个值是null[Z_TYPE_PP(val) == IS_NULL], 并且migrate_globals, migrate_golbals是在当前符号表中,查询是否有同名的变量(这个很重要);

最后, 如果bug_compat_warn也是打开的, 那么你就可以看到这个警告了.

接下来, 我们重现一个这个警告:

以下是代码片段:
     <?php
        session_start();
    $a = ’laruence’ ; //在当前符号表插入一个同名变量
        $_SESSION[’a’] = null; //同名session变量,并且值为null
     ?>

那么,在打开bug_compat_42,和bug_compat_warn,并且关闭register_globals的情况下, 你就可以看到这个警告了.

建议继续学习

  1. 浅析http协议、cookies和session机制、浏览器缓存 (阅读 17,203)
  2. cookie窃取和session劫持 (阅读 14,424)
  3. 你必须了解的Session的本质 (阅读 11,245)
  4. 深入浅出Session攻击方式之一 – 固定会话ID (阅读 5,324)
  5. 关于session和memcache的若干问题 (阅读 5,185)
  6. 如何设置一个严格30分钟过期的Session (阅读 5,087)
  7. (oracle)11g与10g中alter session权限差异 (阅读 4,385)
  8. Php session内部执行流程的再次剖析 (阅读 4,343)
  9. PHP Session学习笔记 (阅读 4,325)
  10. 深入理解PHP原理之Session Gc的一个小概率Notice (阅读 4,203)