php - 在 PHP 中防止竞争条件的最可靠和安全的方法

Question

我需要在 PHP 中使用互斥锁或信号量，这让我很害怕。澄清一下，我不害怕编写正确同步的无死锁代码，也不害怕并发编程的危险，而是害怕 PHP 处理边缘情况的能力。

快速背景:编写一个位于用户和第 3 方信用卡网关之间的信用卡处理程序接口(interface)。需要防止重复请求，并且已经有一个可以工作的系统，但是如果用户点击提交(没有启用 JS，所以我不能为他们禁用按钮)相隔几毫秒，我的 PHP 脚本就会出现竞争条件没有意识到已经提出了重复的请求。需要一个信号量/互斥量，这样我才能确保每个唯一事务只有一个成功的请求通过。

我通过 PHP-FPM 在 nginx 后面运行 PHP，在多核 Linux 机器上使用多个进程。我想确定

1. 信号量在所有 php-fpm 进程和所有内核(i686 内核)之间共享。
2. php-fpm 在持有互斥量/信号量的同时处理 PHP 进程崩溃并相应地释放它。
3. php-fpm 在持有互斥量/信号量的同时处理 session 中止并相应地释放它。

是的，我知道。非常基本的问题，认为任何其他软件都不存在适当的解决方案是愚蠢的。但这是 PHP，而且它肯定不是在构建时考虑到并发性的，它经常崩溃(取决于您加载了哪些扩展)，并且处于不稳定的环境中(PHP-FPM 和 web 上)。

关于 (1)，我假设如果 PHP 正在使用 POSIX 函数，那么这两个条件在 SMP i686 机器上都成立。至于(2)，我从简要浏览文档中看到有一个参数决定了这种行为(尽管我不明白为什么有人希望 PHP 不释放互斥锁是 session 被杀死)。但是(3)是我主要关心的问题，我不知道是否可以安全地假设 php-fpm 为我正确处理所有边缘情况。我(显然)不想要死锁，但我不确定我是否可以相信 PHP 永远不会让我的代码处于无法获得互斥锁的状态，因为抓取它的 session 要么优雅地终止，要么不优雅地终止。

我考虑过使用 MySQL LOCK TABLES 方法，但还有更多疑问，因为虽然我更信任 MySQL 锁而不是 PHP 锁，但我担心 PHP 是否会中止请求(with*out * 崩溃)在持有 MySQL session 锁的同时，MySQL 可能会保持表锁定(尤其是因为我可以很容易地想象导致这种情况发生的代码)。

老实说，我最喜欢一个非常基本的 C 扩展，我可以准确地看到正在进行的 POSIX 调用以及确保我想要的确切行为的参数......但我不期待写作那个代码。

谁有任何关于 PHP 并发相关的最佳实践想要分享？

Answer 1

事实上，我认为无论哪种解决方案都不需要复杂的互斥量/信号量。

存储在 PHP $_SESSION 中的表单键就是您所需要的。作为一个很好的副作用，此方法还可以保护您的表单免受 CSRF 攻击。

在 PHP 中， session 通过获取 POSIX flock() 来锁定，并且 PHP 的 session_start() 会等待用户 session 被释放。您只需在第一个有效请求上unset() 表单键。第二个请求必须等到第一个请求释放 session 。

但是，当在涉及多个主机的(不是基于 session 或源 ip 的)负载平衡场景中运行时，事情会变得更加复杂。对于这种情况，我相信您会在这篇很棒的论文中找到有值(value)的解决方案:http://thwartedefforts.org/2006/11/11/race-conditions-with-ajax-and-php-sessions/

我通过以下演示重现了您的用例。只需将此文件放到您的网络服务器上并进行测试即可:

<?php
session_start();
if (isset($_REQUEST['do_stuff'])) {
  // do stuff
  if ($_REQUEST['uniquehash'] == $_SESSION['uniquehash']) {
    echo "valid, doing stuff now ... "; flush();
    // delete formkey from session
    unset($_SESSION['uniquehash']);
    // release session early - after committing the session data is read-only
    session_write_close();
    sleep(20);  
    echo "stuff done!";
  }
  else {
    echo "nope, {$_REQUEST['uniquehash']} is invalid.";
  }     
}
else {
  // show form with formkey
  $_SESSION['uniquehash'] = md5("foo".microtime().rand(1,999999));
?>
<html>
<head><title>session race condition example</title></head>
<body>
  <form method="POST">
    <input type="hidden" name="PHPSESSID" value="<?=session_id()?>">
    <input type="text" name="uniquehash" 
      value="<?= $_SESSION['uniquehash'] ?>">
    <input type="submit" name="do_stuff" value="Do stuff!">
  </form>
</body>
</html>
<?php } ?>