Codeignitor はじめました。のその後。

Pocket

こんにちは。システム部の鈴木です。
先日、新年会で肥ったといじられました。暖かくなってから本気出します。

以前書いてからだいぶ間が空いてしまったCodeIgnitorを使って早速社内向けのサービスを作ってみました。
今回はそのときに気がついた点とか書いていこうと思います。

 

その前に、実際作ったもの

140131

タイムカードの代わりにブラウザでぽちるシステムです。
一週間の出社時間、退勤時間、あとお昼休憩の開始と終了の時刻を管理しています。
だれがどれだけ有給消化したか、なんかがわかります。
見える化ってやつですね。最近聞かない気もしますが。

 

CSSフレームワークはTwitter Bootstrap を使用し、テーマは BootSwatchで配布されているFlatlyをそのまま使用してます。

そして主役のCodeIgnitor

実際に使ってみた感想としては、シンプルなので学習コストを抑えて手軽に導入できる事はとてもよかったです。
独自にフレームワークを拡張する事にも柔軟に対応できるので、割と広く使えそうな印象はありました。
日本語ドキュメントが割と充実していた事もポイントですね。

 

…ですが。

デフォルトのままでは正直、いただけない設計・実装もありました。
特になんだこれは!?と思ったのが

セッションデータを全てCookieに保存してしまう謎の仕様

セッションデータ自体はファイルベース、DBでの管理を application/config/config.php の $config[‘sess_use_database’] で選択できるようになっていますが
その中身全てをなんとCookieにそのまま書き込んでしまいます。

ログイン機能を作るときなどはセッションIDだけをCookieに保存して、それによりセッションを引き継ぐような作りが普通だと思いますが
何故かセッションに保存されたものはそのままCookieに保存されるので、
ローカルのCookieの中身をみればセッションに保存した情報が丸見えという非常によろしくない実装になってしまいます。

そこでCodeIgnitor ではCookieに保存する際に暗号化して保存する仕組みが備わっています。
ユーザガイドにもありますが設定方法は以下の通りです。

  1. $config[‘encryption_key’] で saltを設定(これは暗号化にしない場合でも常に必要) 
  2. $config[‘sess_encrypt_cookie’] = true にする

これなら(解読さえされなければ)中身は見えなくなります。


…ですが。。

ユーザガイドの同ページにはこんな記述があります。

Note: クッキーは 4KB のデータだけを保持できますので、許容量を超えないよう注意してください。 ここの暗号化処理をすると、元の文字列より長い文字列になりますので、どの程度のデータを保存したのかを把握するよう注意してください。

セッションデータを更新する度にサイズを確認しないといけない、なんてそんな非効率な事だれがやりたいでしょうか。。
※そもそも暗号化したところで可逆暗号なら解読もできるはずで意味ないし。。

 

というわけで、弊社ではCodeIgnitorのセッションクラスは使うの禁止しました。

そして、セッションクラス作りましたので晒してみる事にしました。
ライセンスはGPLとします。

&lt;?php  if ( ! defined(&#8216;BASEPATH&#8217;)) exit(&#8216;No direct script access allowed&#8217;);</p>
<p>/**<br />
 * 独自のSessionハンドラクラス(php 5.4 &gt;=)<br />
 *<br />
 * CodeIgnitor の設定を利用し、独自に実装したセッションハンドラクラスです<br />
 * セッションデータの操作に関するメソッドはオリジナルのクラスと異なります<br />
 *<br />
 * DBでセッションデータを管理する場合は、オリジナルと同様に以下のスキーマで<br />
 * セッションテーブルを作成してください<br />
 *<br />
 *   CREATE TABLE IF NOT EXISTS `ci_sessions` (<br />
 *     session_id varchar(40) DEFAULT &#8216;0&#8217; NOT NULL,<br />
 *     ip_address varchar(16) DEFAULT &#8216;0&#8217; NOT NULL,<br />
 *     user_agent varchar(255) NOT NULL,<br />
 *     last_activity int(10) unsigned DEFAULT 0 NOT NULL,<br />
 *     user_data text NOT NULL,<br />
 *     PRIMARY KEY (session_id),<br />
 *     KEY `last_activity_idx` (`last_activity`)<br />
 *   );<br />
 *<br />
 * via http://codeigniter.jp/user_guide_ja/libraries/sessions.html<br />
 *<br />
 * CodeIgnitor の設定ファイル config.php で sess_use_database の設定に基づき<br />
 * 使用するセッションハンドラを切り替えます。<br />
 *<br />
 * @author JunSuzuki&lt;jun_suzuki@medical-desgin.co.jp&gt;<br />
 */<br />
class Ex_Session<br />
{<br />
    /**<br />
     * セッションのネームスペース<br />
     * @access private<br />
     * @param string<br />
     */<br />
    private $_namespace = &#8216;default';</p>
<p>    /**<br />
     * コンストラクタ<br />
     *<br />
     * @access public<br />
     * @return void<br />
     */<br />
    public function __construct()<br />
    {<br />
        ini_set(&#8216;session.use_cookies&#8217;, 0);<br />
        ini_set(&#8216;session.use_only_cookies&#8217;, 0);</p>
<p>        $handler = new Ex_SessionHandler_File();<br />
        if ($handler-&gt;isHandlerType() !== true) {<br />
            $handler = new Ex_SessionHandler_Db();<br />
        }</p>
<p>        // セッションハンドラの設定<br />
        session_set_save_handler(<br />
            array($handler, &#8216;open&#8217;),<br />
            array($handler, &#8216;close&#8217;),<br />
            array($handler, &#8216;read&#8217;),<br />
            array($handler, &#8216;write&#8217;),<br />
            array($handler, &#8216;destroy&#8217;),<br />
            array($handler, &#8216;gc&#8217;)<br />
        );</p>
<p>        $handler-&gt;start();<br />
    }</p>
<p>    /**<br />
     * セッションから値を取得する<br />
     *<br />
     * @access public<br />
     * @param string $key<br />
     * @param string $namespace<br />
     * @return mixed or false<br />
     */<br />
    public function get($key, $namespace = &#8221;)<br />
    {<br />
        if (empty($key)) return false;</p>
<p>        $space = ! empty($namespace) ? $namespace : $this-&gt;_namespace;<br />
        if (empty($space) || ! isset($_SESSION[$space])) return false;</p>
<p>        if (isset($_SESSION[$space][$key])) return $_SESSION[$space][$key];</p>
<p>        return false;<br />
    }</p>
<p>    /**<br />
     * セッションに値を保存する<br />
     *<br />
     * @access public<br />
     * @param string $key<br />
     * @param mixed $value<br />
     * @param string $namespace<br />
     * @return mixed or false<br />
     */<br />
    public function save($key, $value, $namespace = &#8221;)<br />
    {<br />
        if (empty($key)) return false;</p>
<p>        $space = ! empty($namespace) ? $namespace : $this-&gt;_namespace;<br />
        if (empty($space)) return false;</p>
<p>        if ($this-&gt;setNameSpace($space)) {<br />
            $_SESSION[$space][$key] = $value;<br />
            return true;<br />
        }<br />
        return false;<br />
    }</p>
<p>    /**<br />
     * セッションから値を破棄する<br />
     *<br />
     * @access public<br />
     * @param string $key<br />
     * @param string $namespace<br />
     * @return mixed or false<br />
     */<br />
    public function delete($key, $namespace = &#8221;)<br />
    {<br />
        if (empty($key)) return false;</p>
<p>        $space = ! empty($namespace) ? $namespace : $this-&gt;_namespace;<br />
        if (empty($space) || ! isset($_SESSION[$space])) return false;</p>
<p>        if (isset($_SESSION[$space][$key])) {<br />
            unset($_SESSION[$space][$key]);<br />
            return true;<br />
        }</p>
<p>        return false;<br />
    }</p>
<p>    /**<br />
     * セッションに保存された名前空間の一覧を取得する<br />
     *<br />
     * @access public<br />
     * @param string $key<br />
     * @param string $namespace<br />
     * @return array or false<br />
     */<br />
    public function getNameSpaces()<br />
    {<br />
        if (empty($name) || count($_SESSION) &lt;= 0) return false;</p>
<p>        $names = array();<br />
        foreach ($_SESSION as $name) {<br />
            $names[] = $name;<br />
        }</p>
<p>        return $names;<br />
    }</p>
<p>    /**<br />
     * セッションに名前空間を保存する<br />
     *<br />
     * @access public<br />
     * @param string $key<br />
     * @param string $namespace<br />
     * @return bool<br />
     */<br />
    public function setNameSpace($name)<br />
    {<br />
        if (empty($name)) return false;</p>
<p>        if (! isset($_SESSION[$name])) $_SESSION[$name] = array();<br />
        return true;<br />
    }</p>
<p>    /**<br />
     * セッションから指定の名前空間を破棄する<br />
     *<br />
     * @access public<br />
     * @param string $name<br />
     * @return bool<br />
     */<br />
    public function unsetNameSpace($name)<br />
    {<br />
        if (empty($name) || ! isset($_SESSION[$name])) return false;<br />
        unset($_SESSION[$name]);<br />
        return true;<br />
    }</p>
<p>    /**<br />
     * セッションデータを破棄する<br />
     *<br />
     * @access public<br />
     * @param string $name<br />
     * @return bool<br />
     */<br />
    public function clear()<br />
    {<br />
        setcookie(<br />
            $this-&gt;cookie_prefix . $this-&gt;sess_cookie_name,<br />
            session_id(),<br />
            time() &#8211; 42000,<br />
            $this-&gt;cookie_path,<br />
            $this-&gt;cookie_domain,<br />
            $this-&gt;cookie_secure,<br />
            false<br />
        );</p>
<p>        session_destroy();<br />
        return true;<br />
    }<br />
}</p>
<p>/**<br />
 * DBを使用するセッションハンドラ<br />
 */<br />
class Ex_SessionHandler_Db extends Ex_SessionHandler<br />
{<br />
    /**<br />
     * セッションのオープン<br />
     *<br />
     * @access public<br />
     * @param void<br />
     * @return void<br />
     */<br />
    public function open($savePath, $sessionName)<br />
    {<br />
        return $this-&gt;_db-&gt;table_exists($this-&gt;sess_table_name);<br />
    }</p>
<p>    /**<br />
     * セッションをクローズする<br />
     *<br />
     * @access public<br />
     * @param void<br />
     * @return void<br />
     */<br />
    public function close()<br />
    {<br />
        return true;<br />
    }</p>
<p>    /**<br />
     * セッションのデータを読み込む<br />
     *<br />
     * @access public<br />
     * @param string $id<br />
     * @return void<br />
     */<br />
    public function read($id)<br />
    {<br />
        $data = $this-&gt;_getSessionById($id);<br />
        if (isset($data[&#8216;user_data&#8217;])) {<br />
            return unserialize(stripslashes($data[&#8216;user_data&#8217;]));<br />
        }</p>
<p>        return &#8221;;<br />
    }</p>
<p>    /**<br />
     * セッションにデータを書き込む<br />
     *<br />
     * @access public<br />
     * @param string $id<br />
     * @param array $data<br />
     * @return void<br />
     */<br />
    public function write($id, $data)<br />
    {</p>
<p>        $insertData = array(<br />
            &#8216;session_id&#8217; =&gt; $id,<br />
            &#8216;ip_address&#8217; =&gt; $_SERVER[&#8216;REMOTE_ADDR&#8217;],<br />
            &#8216;user_agent&#8217; =&gt; $_SERVER[&#8216;HTTP_USER_AGENT&#8217;],<br />
            &#8216;last_activity&#8217; =&gt; mktime(date(&#8216;H&#8217;), date(&#8216;i&#8217;), date(&#8216;s&#8217;), date(&#8216;m&#8217;), date(&#8216;d&#8217;), date(&#8216;Y&#8217;)),<br />
            &#8216;user_data&#8217; =&gt; stripslashes(serialize($data)),<br />
        );</p>
<p>        $this-&gt;_db-&gt;replace($this-&gt;sess_table_name, $insertData);</p>
<p>        return true;<br />
    }</p>
<p>    /**<br />
     * セッションを破棄する<br />
     *<br />
     * @access public<br />
     * @param string $id<br />
     * @return void<br />
     */<br />
    public function destroy($id)<br />
    {<br />
        return $this-&gt;_db-&gt;delete($this-&gt;sess_table_name, array(&#8216;session_id&#8217; =&gt; $id));<br />
    }</p>
<p>    /**<br />
     * ガベージコレクト<br />
     *<br />
     * @access public<br />
     * @param void<br />
     * @return void<br />
     */<br />
    public function gc()<br />
    {<br />
        $this-&gt;_db-&gt;delete($this-&gt;sess_table_name, array(&#8216;last_activity &lt; &#8216; =&gt; time() &#8211; $this-&gt;sess_expiration));<br />
        return true;<br />
    }</p>
<p>    public function isHandlerType()<br />
    {<br />
        return $this-&gt;sess_use_database;<br />
    }</p>
<p>    /**<br />
     * セッション情報をIDから取得する<br />
     *<br />
     * @access private<br />
     * @param string $sid<br />
     * @return array or false<br />
     */<br />
    protected function _getSessionById($sid)<br />
    {<br />
        $this-&gt;_db-&gt;where(&#8216;session_id&#8217;, $sid);<br />
        $query = $this-&gt;_db-&gt;get($this-&gt;sess_table_name);<br />
        $result = $query-&gt;row_array();</p>
<p>        if (empty($result)) return false;</p>
<p>        if ($this-&gt;sess_match_ip == true &amp;&amp; $result[&#8216;ip_address&#8217;] != $_SERVER[&#8216;REMOTE_ADDR&#8217;]) {<br />
            return false;<br />
        }</p>
<p>        if ($this-&gt;sess_match_useragent == true &amp;&amp; $result[&#8216;user_agent&#8217;] != $_SERVER[&#8216;HTTP_USER_AGENT&#8217;]) {<br />
            return false;<br />
        }</p>
<p>        return $result;<br />
    }<br />
}</p>
<p>/**<br />
 * ファイルベースのセッションハンドラ<br />
 */<br />
class Ex_SessionHandler_File extends Ex_SessionHandler<br />
{<br />
    /**<br />
     * セッションのオープン<br />
     *<br />
     * @access public<br />
     * @return void<br />
     */<br />
    public function open($savePath, $sessionName)<br />
    {<br />
        $this-&gt;savePath = $savePath;<br />
        if (!is_dir($this-&gt;savePath)) {<br />
            mkdir($this-&gt;savePath, 0777);<br />
        }</p>
<p>        return true;<br />
    }</p>
<p>    /**<br />
     * セッションをクローズする<br />
     *<br />
     * @access public<br />
     * @return void<br />
     */<br />
    public function close()<br />
    {<br />
        return true;<br />
    }</p>
<p>    /**<br />
     * セッションのデータを読み込む<br />
     *<br />
     * @access public<br />
     * @return void<br />
     */<br />
    public function read($id)<br />
    {<br />
        return (string)@file_get_contents(&quot;$this-&gt;savePath/sess_$id&quot;);<br />
    }</p>
<p>    /**<br />
     * セッションにデータを書き込む<br />
     *<br />
     * @access public<br />
     * @return void<br />
     */<br />
    public function write($id, $data)<br />
    {<br />
        return file_put_contents(&quot;$this-&gt;savePath/sess_$id&quot;, $data) === false ? false : true;<br />
    }</p>
<p>    /**<br />
     * セッションを破棄する<br />
     *<br />
     * @access public<br />
     * @return void<br />
     */<br />
    public function destroy($id)<br />
    {<br />
        $file = &quot;$this-&gt;savePath/sess_$id&quot;;<br />
        if (file_exists($file)) {<br />
            unlink($file);<br />
        }</p>
<p>        return true;<br />
    }</p>
<p>    /**<br />
     * ガベージコレクト<br />
     *<br />
     * @access public<br />
     * @return void<br />
     */<br />
    public function gc()<br />
    {<br />
        foreach (glob(&quot;$this-&gt;savePath/sess_*&quot;) as $file) {<br />
            if (filemtime($file) + $maxlifetime &lt; time() &amp;&amp; file_exists($file)) {<br />
                unlink($file);<br />
            }<br />
        }</p>
<p>        return true;<br />
    }</p>
<p>    public function isHandlerType()<br />
    {<br />
        if ($this-&gt;sess_use_database === true) {<br />
            return false;<br />
        }<br />
        return true;<br />
    }</p>
<p>    /**<br />
     * セッション情報をIDから取得する<br />
     *<br />
     * @access private<br />
     * @param string $sid<br />
     * @return array or false<br />
     */<br />
    protected function _getSessionById($sid)<br />
    {<br />
        $file = &quot;$this-&gt;savePath/sess_$id&quot;;<br />
        if (file_exists($file)) {<br />
            return true;<br />
        }</p>
<p>        return false;<br />
    }<br />
}</p>
<p>/**<br />
 * セッションハンドラの基底クラス<br />
 * CoreIgnitor の設定を利用し、セッションの機能を提供する<br />
 *<br />
 * @author JunSuzuki&lt;jun_suzuki@medical-design.co.jp&gt;<br />
 * @version 0.1<br />
 */<br />
class Ex_SessionHandler<br />
{<br />
    protected $sess_encrypt_cookie  = false;<br />
    protected $sess_use_database    = false;<br />
    protected $sess_table_name      = &#8221;;<br />
    protected $sess_expiration      = 7200;<br />
    protected $sess_expire_on_close = false;<br />
    protected $sess_match_ip        = false;<br />
    protected $sess_match_useragent = true;<br />
    protected $sess_cookie_name     = &#8216;ci_session';<br />
    protected $cookie_prefix        = &#8221;;<br />
    protected $cookie_path          = &#8221;;<br />
    protected $cookie_domain        = &#8221;;<br />
    protected $cookie_secure        = false;<br />
    protected $sess_time_to_update  = 300;<br />
    protected $encryption_key       = &#8221;;<br />
    protected $flashdata_key        = &#8216;flash';<br />
    protected $time_reference       = &#8216;time';<br />
    protected $gc_probability       = 5;<br />
    protected $userdata             = array();<br />
    protected $CI;<br />
    protected $now;</p>
<p>    protected $_db;</p>
<p>    /**<br />
     * コンストラクタ<br />
     *<br />
     * @access public<br />
     * @return void<br />
     */<br />
    public function __construct()<br />
    {<br />
        $this-&gt;CI =&amp; get_instance();</p>
<p>        // configファイルによりメンバ変数の値を定義<br />
        $keys = array(<br />
            &#8216;sess_encrypt_cookie&#8217;,<br />
            &#8216;sess_use_database&#8217;,<br />
            &#8216;sess_table_name&#8217;,<br />
            &#8216;sess_expiration&#8217;,<br />
            &#8216;sess_expire_on_close&#8217;,<br />
            &#8216;sess_match_ip&#8217;,<br />
            &#8216;sess_match_useragent&#8217;,<br />
            &#8216;sess_cookie_name&#8217;,<br />
            &#8216;cookie_path&#8217;,<br />
            &#8216;cookie_domain&#8217;,<br />
            &#8216;cookie_secure&#8217;,<br />
            &#8216;sess_time_to_update&#8217;,<br />
            &#8216;time_reference&#8217;,<br />
            &#8216;cookie_prefix&#8217;,<br />
            &#8216;encryption_key&#8217;<br />
        );</p>
<p>        foreach ($keys as $key) {<br />
            $this-&gt;$key = (isset($params[$key])) ? $params[$key] : $this-&gt;CI-&gt;config-&gt;item($key);<br />
        }</p>
<p>        if ($this-&gt;sess_use_database) {<br />
            $this-&gt;_db = $this-&gt;CI-&gt;load-&gt;database(&#8216;default&#8217;, true);<br />
        }</p>
<p>        register_shutdown_function(&#8216;session_write_close&#8217;);<br />
    }</p>
<p>    /**<br />
     * セッションを開始する<br />
     *<br />
     * @access public<br />
     * @param int $expire<br />
     * @return void<br />
     */<br />
    public function start($expire = 0)<br />
    {<br />
        // セッション名が設定されていればそれを指定<br />
        if (! empty($this-&gt;sess_cookie_name)) {<br />
            session_name($this-&gt;cookie_prefix . $this-&gt;sess_cookie_name);<br />
        }</p>
<p>        // セッションIDがあれば指定<br />
        $sid = $this-&gt;getSessionId();<br />
        if (! empty($sid)) session_id($sid);</p>
<p>        // 有効期限の指定が無ければ設定ファイルに基づいて指定する<br />
        $expire = ! empty($expire) &amp;&amp; is_numeric($expire) ? $expire : $this-&gt;sess_expiration;<br />
        $domain = ! empty($this-&gt;cookie_domain) ? $this-&gt;cookie_domain : $_SERVER[&#8216;HTTP_HOST&#8217;];</p>
<p>        ini_set(&#8216;session.gc_maxlifetime&#8217;, $expire);</p>
<p>        session_start();<br />
        session_regenerate_id(true);</p>
<p>        setcookie(<br />
            $this-&gt;cookie_prefix . $this-&gt;sess_cookie_name,<br />
            session_id(),<br />
            time() + $expire,<br />
            $this-&gt;cookie_path,<br />
            $this-&gt;cookie_domain,<br />
            $this-&gt;cookie_secure,<br />
            false<br />
        );</p>
<p>        log_message(&#8216;debug&#8217;, &quot;EX_Session routines successfully run&quot;);<br />
    }</p>
<p>    /**<br />
     * セッションIDを取得する<br />
     *<br />
     * @access public<br />
     * @param void<br />
     * @return string or false<br />
     */<br />
    public function getSessionId()<br />
    {<br />
        $sid = &#8221;;</p>
<p>        // Cookieでセッションを引き継いでいる場合<br />
        if (isset($_COOKIE[$this-&gt;sess_cookie_name]) &amp;&amp; ! empty($_COOKIE[$this-&gt;sess_cookie_name])) {<br />
            $sid = $_COOKIE[$this-&gt;sess_cookie_name];</p>
<p>        // POST で引き継いでいる場合<br />
        } elseif (isset($_POST[$this-&gt;sess_cookie_name]) &amp;&amp; ! empty($_POST[$this-&gt;sess_cookie_name])) {<br />
            $sid = $_POST[$this-&gt;sess_cookie_name];</p>
<p>        // GET で引き継いでいる場合(主にフィーチャーフォン)<br />
        } elseif (isset($_GET[$this-&gt;sess_cookie_name]) &amp;&amp; ! empty($_GET[$this-&gt;sess_cookie_name])) {<br />
            $sid = $_GET[$this-&gt;sess_cookie_name];<br />
        }</p>
<p>        if (! empty($sid) &amp;&amp; $this-&gt;_getSessionById($sid)) {<br />
            return $sid;<br />
        }</p>
<p>        return false;<br />
    }<br />
}<br />

 

セッションデータの管理はファイルベースでもDBでも大丈夫ですが、
DBでの仕様のみを想定しているためファイルベースではネームスペースなど無視しています。(※今後改善予定)
あとはCIの設定ファイルに基づくように作ってあります。
 

よくある自前のセッションハンドラの実装とほぼ同じなので特別な事は特にしていませんが
Codeignitorデフォルトのは使いたくない場合は参考にしてみてください。