vendor/symfony/http-foundation/Session/Storage/Handler/PdoSessionHandler.php line 438

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\HttpFoundation\Session\Storage\Handler;
  14. /**
  15.  * Session handler using a PDO connection to read and write data.
  16.  *
  17.  * It works with MySQL, PostgreSQL, Oracle, SQL Server and SQLite and implements
  18.  * different locking strategies to handle concurrent access to the same session.
  19.  * Locking is necessary to prevent loss of data due to race conditions and to keep
  20.  * the session data consistent between read() and write(). With locking, requests
  21.  * for the same session will wait until the other one finished writing. For this
  22.  * reason it's best practice to close a session as early as possible to improve
  23.  * concurrency. PHPs internal files session handler also implements locking.
  24.  *
  25.  * Attention: Since SQLite does not support row level locks but locks the whole database,
  26.  * it means only one session can be accessed at a time. Even different sessions would wait
  27.  * for another to finish. So saving session in SQLite should only be considered for
  28.  * development or prototypes.
  29.  *
  30.  * Session data is a binary string that can contain non-printable characters like the null byte.
  31.  * For this reason it must be saved in a binary column in the database like BLOB in MySQL.
  32.  * Saving it in a character column could corrupt the data. You can use createTable()
  33.  * to initialize a correctly defined table.
  34.  *
  35.  * @see https://php.net/sessionhandlerinterface
  36.  *
  37.  * @author Fabien Potencier <fabien@symfony.com>
  38.  * @author Michael Williams <michael.williams@funsational.com>
  39.  * @author Tobias Schultze <http://tobion.de>
  40.  */
  41. class PdoSessionHandler extends AbstractSessionHandler
  42. {
  43.     /**
  44.      * No locking is done. This means sessions are prone to loss of data due to
  45.      * race conditions of concurrent requests to the same session. The last session
  46.      * write will win in this case. It might be useful when you implement your own
  47.      * logic to deal with this like an optimistic approach.
  48.      */
  49.     const LOCK_NONE 0;
  51.     /**
  52.      * Creates an application-level lock on a session. The disadvantage is that the
  53.      * lock is not enforced by the database and thus other, unaware parts of the
  54.      * application could still concurrently modify the session. The advantage is it
  55.      * does not require a transaction.
  56.      * This mode is not available for SQLite and not yet implemented for oci and sqlsrv.
  57.      */
  58.     const LOCK_ADVISORY 1;
  60.     /**
  61.      * Issues a real row lock. Since it uses a transaction between opening and
  62.      * closing a session, you have to be careful when you use same database connection
  63.      * that you also use for your application logic. This mode is the default because
  64.      * it's the only reliable solution across DBMSs.
  65.      */
  66.     const LOCK_TRANSACTIONAL 2;
  68.     private const MAX_LIFETIME 315576000;
  70.     /**
  71.      * @var \PDO|null PDO instance or null when not connected yet
  72.      */
  73.     private $pdo;
  75.     /**
  76.      * @var string|false|null DSN string or null for session.save_path or false when lazy connection disabled
  77.      */
  78.     private $dsn false;
  80.     /**
  81.      * @var string Database driver
  82.      */
  83.     private $driver;
  85.     /**
  86.      * @var string Table name
  87.      */
  88.     private $table 'sessions';
  90.     /**
  91.      * @var string Column for session id
  92.      */
  93.     private $idCol 'sess_id';
  95.     /**
  96.      * @var string Column for session data
  97.      */
  98.     private $dataCol 'sess_data';
  100.     /**
  101.      * @var string Column for lifetime
  102.      */
  103.     private $lifetimeCol 'sess_lifetime';
  105.     /**
  106.      * @var string Column for timestamp
  107.      */
  108.     private $timeCol 'sess_time';
  110.     /**
  111.      * @var string Username when lazy-connect
  112.      */
  113.     private $username '';
  115.     /**
  116.      * @var string Password when lazy-connect
  117.      */
  118.     private $password '';
  120.     /**
  121.      * @var array Connection options when lazy-connect
  122.      */
  123.     private $connectionOptions = [];
  125.     /**
  126.      * @var int The strategy for locking, see constants
  127.      */
  128.     private $lockMode self::LOCK_TRANSACTIONAL;
  130.     /**
  131.      * It's an array to support multiple reads before closing which is manual, non-standard usage.
  132.      *
  133.      * @var \PDOStatement[] An array of statements to release advisory locks
  134.      */
  135.     private $unlockStatements = [];
  137.     /**
  138.      * @var bool True when the current session exists but expired according to session.gc_maxlifetime
  139.      */
  140.     private $sessionExpired false;
  142.     /**
  143.      * @var bool Whether a transaction is active
  144.      */
  145.     private $inTransaction false;
  147.     /**
  148.      * @var bool Whether gc() has been called
  149.      */
  150.     private $gcCalled false;
  152.     /**
  153.      * You can either pass an existing database connection as PDO instance or
  154.      * pass a DSN string that will be used to lazy-connect to the database
  155.      * when the session is actually used. Furthermore it's possible to pass null
  156.      * which will then use the session.save_path ini setting as PDO DSN parameter.
  157.      *
  158.      * List of available options:
  159.      *  * db_table: The name of the table [default: sessions]
  160.      *  * db_id_col: The column where to store the session id [default: sess_id]
  161.      *  * db_data_col: The column where to store the session data [default: sess_data]
  162.      *  * db_lifetime_col: The column where to store the lifetime [default: sess_lifetime]
  163.      *  * db_time_col: The column where to store the timestamp [default: sess_time]
  164.      *  * db_username: The username when lazy-connect [default: '']
  165.      *  * db_password: The password when lazy-connect [default: '']
  166.      *  * db_connection_options: An array of driver-specific connection options [default: []]
  167.      *  * lock_mode: The strategy for locking, see constants [default: LOCK_TRANSACTIONAL]
  168.      *
  169.      * @param \PDO|string|null $pdoOrDsn A \PDO instance or DSN string or URL string or null
  170.      *
  171.      * @throws \InvalidArgumentException When PDO error mode is not PDO::ERRMODE_EXCEPTION
  172.      */
  173.     public function __construct($pdoOrDsn null, array $options = [])
  174.     {
  175.         if ($pdoOrDsn instanceof \PDO) {
  176.             if (\PDO::ERRMODE_EXCEPTION !== $pdoOrDsn->getAttribute(\PDO::ATTR_ERRMODE)) {
  177.                 throw new \InvalidArgumentException(sprintf('"%s" requires PDO error mode attribute be set to throw Exceptions (i.e. $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION))'__CLASS__));
  178.             }
  180.             $this->pdo $pdoOrDsn;
  181.             $this->driver $this->pdo->getAttribute(\PDO::ATTR_DRIVER_NAME);
  182.         } elseif (\is_string($pdoOrDsn) && false !== strpos($pdoOrDsn'://')) {
  183.             $this->dsn $this->buildDsnFromUrl($pdoOrDsn);
  184.         } else {
  185.             $this->dsn $pdoOrDsn;
  186.         }
  188.         $this->table = isset($options['db_table']) ? $options['db_table'] : $this->table;
  189.         $this->idCol = isset($options['db_id_col']) ? $options['db_id_col'] : $this->idCol;
  190.         $this->dataCol = isset($options['db_data_col']) ? $options['db_data_col'] : $this->dataCol;
  191.         $this->lifetimeCol = isset($options['db_lifetime_col']) ? $options['db_lifetime_col'] : $this->lifetimeCol;
  192.         $this->timeCol = isset($options['db_time_col']) ? $options['db_time_col'] : $this->timeCol;
  193.         $this->username = isset($options['db_username']) ? $options['db_username'] : $this->username;
  194.         $this->password = isset($options['db_password']) ? $options['db_password'] : $this->password;
  195.         $this->connectionOptions = isset($options['db_connection_options']) ? $options['db_connection_options'] : $this->connectionOptions;
  196.         $this->lockMode = isset($options['lock_mode']) ? $options['lock_mode'] : $this->lockMode;
  197.     }
  199.     /**
  200.      * Creates the table to store sessions which can be called once for setup.
  201.      *
  202.      * Session ID is saved in a column of maximum length 128 because that is enough even
  203.      * for a 512 bit configured session.hash_function like Whirlpool. Session data is
  204.      * saved in a BLOB. One could also use a shorter inlined varbinary column
  205.      * if one was sure the data fits into it.
  206.      *
  207.      * @throws \PDOException    When the table already exists
  208.      * @throws \DomainException When an unsupported PDO driver is used
  209.      */
  210.     public function createTable()
  211.     {
  212.         // connect if we are not yet
  213.         $this->getConnection();
  215.         switch ($this->driver) {
  216.             case 'mysql':
  217.                 // We use varbinary for the ID column because it prevents unwanted conversions:
  218.                 // - character set conversions between server and client
  219.                 // - trailing space removal
  220.                 // - case-insensitivity
  221.                 // - language processing like é == e
  222.                 $sql "CREATE TABLE $this->table ($this->idCol VARBINARY(128) NOT NULL PRIMARY KEY, $this->dataCol BLOB NOT NULL, $this->lifetimeCol INTEGER UNSIGNED NOT NULL, $this->timeCol INTEGER UNSIGNED NOT NULL) COLLATE utf8_bin, ENGINE = InnoDB";
  223.                 break;
  224.             case 'sqlite':
  225.                 $sql "CREATE TABLE $this->table ($this->idCol TEXT NOT NULL PRIMARY KEY, $this->dataCol BLOB NOT NULL, $this->lifetimeCol INTEGER NOT NULL, $this->timeCol INTEGER NOT NULL)";
  226.                 break;
  227.             case 'pgsql':
  228.                 $sql "CREATE TABLE $this->table ($this->idCol VARCHAR(128) NOT NULL PRIMARY KEY, $this->dataCol BYTEA NOT NULL, $this->lifetimeCol INTEGER NOT NULL, $this->timeCol INTEGER NOT NULL)";
  229.                 break;
  230.             case 'oci':
  231.                 $sql "CREATE TABLE $this->table ($this->idCol VARCHAR2(128) NOT NULL PRIMARY KEY, $this->dataCol BLOB NOT NULL, $this->lifetimeCol INTEGER NOT NULL, $this->timeCol INTEGER NOT NULL)";
  232.                 break;
  233.             case 'sqlsrv':
  234.                 $sql "CREATE TABLE $this->table ($this->idCol VARCHAR(128) NOT NULL PRIMARY KEY, $this->dataCol VARBINARY(MAX) NOT NULL, $this->lifetimeCol INTEGER NOT NULL, $this->timeCol INTEGER NOT NULL)";
  235.                 break;
  236.             default:
  237.                 throw new \DomainException(sprintf('Creating the session table is currently not implemented for PDO driver "%s".'$this->driver));
  238.         }
  240.         try {
  241.             $this->pdo->exec($sql);
  242.             $this->pdo->exec("CREATE INDEX EXPIRY ON $this->table ($this->lifetimeCol)");
  243.         } catch (\PDOException $e) {
  244.             $this->rollback();
  246.             throw $e;
  247.         }
  248.     }
  250.     /**
  251.      * Returns true when the current session exists but expired according to session.gc_maxlifetime.
  252.      *
  253.      * Can be used to distinguish between a new session and one that expired due to inactivity.
  254.      *
  255.      * @return bool Whether current session expired
  256.      */
  257.     public function isSessionExpired()
  258.     {
  259.         return $this->sessionExpired;
  260.     }
  262.     /**
  263.      * @return bool
  264.      */
  265.     public function open($savePath$sessionName)
  266.     {
  267.         $this->sessionExpired false;
  269.         if (null === $this->pdo) {
  270.             $this->connect($this->dsn ?: $savePath);
  271.         }
  273.         return parent::open($savePath$sessionName);
  274.     }
  276.     /**
  277.      * @return string
  278.      */
  279.     public function read($sessionId)
  280.     {
  281.         try {
  282.             return parent::read($sessionId);
  283.         } catch (\PDOException $e) {
  284.             $this->rollback();
  286.             throw $e;
  287.         }
  288.     }
  290.     /**
  291.      * @return bool
  292.      */
  293.     public function gc($maxlifetime)
  294.     {
  295.         // We delay gc() to close() so that it is executed outside the transactional and blocking read-write process.
  296.         // This way, pruning expired sessions does not block them from being started while the current session is used.
  297.         $this->gcCalled true;
  299.         return true;
  300.     }
  302.     /**
  303.      * {@inheritdoc}
  304.      */
  305.     protected function doDestroy($sessionId)
  306.     {
  307.         // delete the record associated with this id
  308.         $sql "DELETE FROM $this->table WHERE $this->idCol = :id";
  310.         try {
  311.             $stmt $this->pdo->prepare($sql);
  312.             $stmt->bindParam(':id'$sessionId, \PDO::PARAM_STR);
  313.             $stmt->execute();
  314.         } catch (\PDOException $e) {
  315.             $this->rollback();
  317.             throw $e;
  318.         }
  320.         return true;
  321.     }
  323.     /**
  324.      * {@inheritdoc}
  325.      */
  326.     protected function doWrite($sessionId$data)
  327.     {
  328.         $maxlifetime = (int) ini_get('session.gc_maxlifetime');
  330.         try {
  331.             // We use a single MERGE SQL query when supported by the database.
  332.             $mergeStmt $this->getMergeStatement($sessionId$data$maxlifetime);
  333.             if (null !== $mergeStmt) {
  334.                 $mergeStmt->execute();
  336.                 return true;
  337.             }
  339.             $updateStmt $this->getUpdateStatement($sessionId$data$maxlifetime);
  340.             $updateStmt->execute();
  342.             // When MERGE is not supported, like in Postgres < 9.5, we have to use this approach that can result in
  343.             // duplicate key errors when the same session is written simultaneously (given the LOCK_NONE behavior).
  344.             // We can just catch such an error and re-execute the update. This is similar to a serializable
  345.             // transaction with retry logic on serialization failures but without the overhead and without possible
  346.             // false positives due to longer gap locking.
  347.             if (!$updateStmt->rowCount()) {
  348.                 try {
  349.                     $insertStmt $this->getInsertStatement($sessionId$data$maxlifetime);
  350.                     $insertStmt->execute();
  351.                 } catch (\PDOException $e) {
  352.                     // Handle integrity violation SQLSTATE 23000 (or a subclass like 23505 in Postgres) for duplicate keys
  353.                     if (=== strpos($e->getCode(), '23')) {
  354.                         $updateStmt->execute();
  355.                     } else {
  356.                         throw $e;
  357.                     }
  358.                 }
  359.             }
  360.         } catch (\PDOException $e) {
  361.             $this->rollback();
  363.             throw $e;
  364.         }
  366.         return true;
  367.     }
  369.     /**
  370.      * @return bool
  371.      */
  372.     public function updateTimestamp($sessionId$data)
  373.     {
  374.         $expiry time() + (int) ini_get('session.gc_maxlifetime');
  376.         try {
  377.             $updateStmt $this->pdo->prepare(
  378.                 "UPDATE $this->table SET $this->lifetimeCol = :expiry, $this->timeCol = :time WHERE $this->idCol = :id"
  379.             );
  380.             $updateStmt->bindParam(':id'$sessionId, \PDO::PARAM_STR);
  381.             $updateStmt->bindParam(':expiry'$expiry, \PDO::PARAM_INT);
  382.             $updateStmt->bindValue(':time'time(), \PDO::PARAM_INT);
  383.             $updateStmt->execute();
  384.         } catch (\PDOException $e) {
  385.             $this->rollback();
  387.             throw $e;
  388.         }
  390.         return true;
  391.     }
  393.     /**
  394.      * @return bool
  395.      */
  396.     public function close()
  397.     {
  398.         $this->commit();
  400.         while ($unlockStmt array_shift($this->unlockStatements)) {
  401.             $unlockStmt->execute();
  402.         }
  404.         if ($this->gcCalled) {
  405.             $this->gcCalled false;
  407.             // delete the session records that have expired
  408.             $sql "DELETE FROM $this->table WHERE $this->lifetimeCol < :time AND $this->lifetimeCol > :min";
  409.             $stmt $this->pdo->prepare($sql);
  410.             $stmt->bindValue(':time'time(), \PDO::PARAM_INT);
  411.             $stmt->bindValue(':min'self::MAX_LIFETIME, \PDO::PARAM_INT);
  412.             $stmt->execute();
  413.             // to be removed in 6.0
  414.             if ('mysql' === $this->driver) {
  415.                 $legacySql "DELETE FROM $this->table WHERE $this->lifetimeCol <= :min AND $this->lifetimeCol + $this->timeCol < :time";
  416.             } else {
  417.                 $legacySql "DELETE FROM $this->table WHERE $this->lifetimeCol <= :min AND $this->lifetimeCol < :time - $this->timeCol";
  418.             }
  420.             $stmt $this->pdo->prepare($legacySql);
  421.             $stmt->bindValue(':time'time(), \PDO::PARAM_INT);
  422.             $stmt->bindValue(':min'self::MAX_LIFETIME, \PDO::PARAM_INT);
  423.             $stmt->execute();
  424.         }
  426.         if (false !== $this->dsn) {
  427.             $this->pdo null// only close lazy-connection
  428.         }
  430.         return true;
  431.     }
  433.     /**
  434.      * Lazy-connects to the database.
  435.      */
  436.     private function connect(string $dsn): void
  437.     {
  438.         $this->pdo = new \PDO($dsn$this->username$this->password$this->connectionOptions);
  439.         $this->pdo->setAttribute(\PDO::ATTR_ERRMODE, \PDO::ERRMODE_EXCEPTION);
  440.         $this->driver $this->pdo->getAttribute(\PDO::ATTR_DRIVER_NAME);
  441.     }
  443.     /**
  444.      * Builds a PDO DSN from a URL-like connection string.
  445.      *
  446.      * @todo implement missing support for oci DSN (which look totally different from other PDO ones)
  447.      */
  448.     private function buildDsnFromUrl(string $dsnOrUrl): string
  449.     {
  450.         // (pdo_)?sqlite3?:///... => (pdo_)?sqlite3?://localhost/... or else the URL will be invalid
  451.         $url preg_replace('#^((?:pdo_)?sqlite3?):///#''$1://localhost/'$dsnOrUrl);
  453.         $params parse_url($url);
  455.         if (false === $params) {
  456.             return $dsnOrUrl// If the URL is not valid, let's assume it might be a DSN already.
  457.         }
  459.         $params array_map('rawurldecode'$params);
  461.         // Override the default username and password. Values passed through options will still win over these in the constructor.
  462.         if (isset($params['user'])) {
  463.             $this->username $params['user'];
  464.         }
  466.         if (isset($params['pass'])) {
  467.             $this->password $params['pass'];
  468.         }
  470.         if (!isset($params['scheme'])) {
  471.             throw new \InvalidArgumentException('URLs without scheme are not supported to configure the PdoSessionHandler');
  472.         }
  474.         $driverAliasMap = [
  475.             'mssql' => 'sqlsrv',
  476.             'mysql2' => 'mysql'// Amazon RDS, for some weird reason
  477.             'postgres' => 'pgsql',
  478.             'postgresql' => 'pgsql',
  479.             'sqlite3' => 'sqlite',
  480.         ];
  482.         $driver = isset($driverAliasMap[$params['scheme']]) ? $driverAliasMap[$params['scheme']] : $params['scheme'];
  484.         // Doctrine DBAL supports passing its internal pdo_* driver names directly too (allowing both dashes and underscores). This allows supporting the same here.
  485.         if (=== strpos($driver'pdo_') || === strpos($driver'pdo-')) {
  486.             $driver substr($driver4);
  487.         }
  489.         switch ($driver) {
  490.             case 'mysql':
  491.             case 'pgsql':
  492.                 $dsn $driver.':';
  494.                 if (isset($params['host']) && '' !== $params['host']) {
  495.                     $dsn .= 'host='.$params['host'].';';
  496.                 }
  498.                 if (isset($params['port']) && '' !== $params['port']) {
  499.                     $dsn .= 'port='.$params['port'].';';
  500.                 }
  502.                 if (isset($params['path'])) {
  503.                     $dbName substr($params['path'], 1); // Remove the leading slash
  504.                     $dsn .= 'dbname='.$dbName.';';
  505.                 }
  507.                 return $dsn;
  509.             case 'sqlite':
  510.                 return 'sqlite:'.substr($params['path'], 1);
  512.             case 'sqlsrv':
  513.                 $dsn 'sqlsrv:server=';
  515.                 if (isset($params['host'])) {
  516.                     $dsn .= $params['host'];
  517.                 }
  519.                 if (isset($params['port']) && '' !== $params['port']) {
  520.                     $dsn .= ','.$params['port'];
  521.                 }
  523.                 if (isset($params['path'])) {
  524.                     $dbName substr($params['path'], 1); // Remove the leading slash
  525.                     $dsn .= ';Database='.$dbName;
  526.                 }
  528.                 return $dsn;
  530.             default:
  531.                 throw new \InvalidArgumentException(sprintf('The scheme "%s" is not supported by the PdoSessionHandler URL configuration. Pass a PDO DSN directly.'$params['scheme']));
  532.         }
  533.     }
  535.     /**
  536.      * Helper method to begin a transaction.
  537.      *
  538.      * Since SQLite does not support row level locks, we have to acquire a reserved lock
  539.      * on the database immediately. Because of https://bugs.php.net/42766 we have to create
  540.      * such a transaction manually which also means we cannot use PDO::commit or
  541.      * PDO::rollback or PDO::inTransaction for SQLite.
  542.      *
  543.      * Also MySQLs default isolation, REPEATABLE READ, causes deadlock for different sessions
  544.      * due to https://percona.com/blog/2013/12/12/one-more-innodb-gap-lock-to-avoid/ .
  545.      * So we change it to READ COMMITTED.
  546.      */
  547.     private function beginTransaction(): void
  548.     {
  549.         if (!$this->inTransaction) {
  550.             if ('sqlite' === $this->driver) {
  551.                 $this->pdo->exec('BEGIN IMMEDIATE TRANSACTION');
  552.             } else {
  553.                 if ('mysql' === $this->driver) {
  554.                     $this->pdo->exec('SET TRANSACTION ISOLATION LEVEL READ COMMITTED');
  555.                 }
  556.                 $this->pdo->beginTransaction();
  557.             }
  558.             $this->inTransaction true;
  559.         }
  560.     }
  562.     /**
  563.      * Helper method to commit a transaction.
  564.      */
  565.     private function commit(): void
  566.     {
  567.         if ($this->inTransaction) {
  568.             try {
  569.                 // commit read-write transaction which also releases the lock
  570.                 if ('sqlite' === $this->driver) {
  571.                     $this->pdo->exec('COMMIT');
  572.                 } else {
  573.                     $this->pdo->commit();
  574.                 }
  575.                 $this->inTransaction false;
  576.             } catch (\PDOException $e) {
  577.                 $this->rollback();
  579.                 throw $e;
  580.             }
  581.         }
  582.     }
  584.     /**
  585.      * Helper method to rollback a transaction.
  586.      */
  587.     private function rollback(): void
  588.     {
  589.         // We only need to rollback if we are in a transaction. Otherwise the resulting
  590.         // error would hide the real problem why rollback was called. We might not be
  591.         // in a transaction when not using the transactional locking behavior or when
  592.         // two callbacks (e.g. destroy and write) are invoked that both fail.
  593.         if ($this->inTransaction) {
  594.             if ('sqlite' === $this->driver) {
  595.                 $this->pdo->exec('ROLLBACK');
  596.             } else {
  597.                 $this->pdo->rollBack();
  598.             }
  599.             $this->inTransaction false;
  600.         }
  601.     }
  603.     /**
  604.      * Reads the session data in respect to the different locking strategies.
  605.      *
  606.      * We need to make sure we do not return session data that is already considered garbage according
  607.      * to the session.gc_maxlifetime setting because gc() is called after read() and only sometimes.
  608.      *
  609.      * @param string $sessionId Session ID
  610.      *
  611.      * @return string The session data
  612.      */
  613.     protected function doRead($sessionId)
  614.     {
  615.         if (self::LOCK_ADVISORY === $this->lockMode) {
  616.             $this->unlockStatements[] = $this->doAdvisoryLock($sessionId);
  617.         }
  619.         $selectSql $this->getSelectSql();
  620.         $selectStmt $this->pdo->prepare($selectSql);
  621.         $selectStmt->bindParam(':id'$sessionId, \PDO::PARAM_STR);
  622.         $insertStmt null;
  624.         do {
  625.             $selectStmt->execute();
  626.             $sessionRows $selectStmt->fetchAll(\PDO::FETCH_NUM);
  628.             if ($sessionRows) {
  629.                 $expiry = (int) $sessionRows[0][1];
  630.                 if ($expiry <= self::MAX_LIFETIME) {
  631.                     $expiry += $sessionRows[0][2];
  632.                 }
  634.                 if ($expiry time()) {
  635.                     $this->sessionExpired true;
  637.                     return '';
  638.                 }
  640.                 return \is_resource($sessionRows[0][0]) ? stream_get_contents($sessionRows[0][0]) : $sessionRows[0][0];
  641.             }
  643.             if (null !== $insertStmt) {
  644.                 $this->rollback();
  645.                 throw new \RuntimeException('Failed to read session: INSERT reported a duplicate id but next SELECT did not return any data.');
  646.             }
  648.             if (!filter_var(ini_get('session.use_strict_mode'), FILTER_VALIDATE_BOOLEAN) && self::LOCK_TRANSACTIONAL === $this->lockMode && 'sqlite' !== $this->driver) {
  649.                 // In strict mode, session fixation is not possible: new sessions always start with a unique
  650.                 // random id, so that concurrency is not possible and this code path can be skipped.
  651.                 // Exclusive-reading of non-existent rows does not block, so we need to do an insert to block
  652.                 // until other connections to the session are committed.
  653.                 try {
  654.                     $insertStmt $this->getInsertStatement($sessionId''0);
  655.                     $insertStmt->execute();
  656.                 } catch (\PDOException $e) {
  657.                     // Catch duplicate key error because other connection created the session already.
  658.                     // It would only not be the case when the other connection destroyed the session.
  659.                     if (=== strpos($e->getCode(), '23')) {
  660.                         // Retrieve finished session data written by concurrent connection by restarting the loop.
  661.                         // We have to start a new transaction as a failed query will mark the current transaction as
  662.                         // aborted in PostgreSQL and disallow further queries within it.
  663.                         $this->rollback();
  664.                         $this->beginTransaction();
  665.                         continue;
  666.                     }
  668.                     throw $e;
  669.                 }
  670.             }
  672.             return '';
  673.         } while (true);
  674.     }
  676.     /**
  677.      * Executes an application-level lock on the database.
  678.      *
  679.      * @return \PDOStatement The statement that needs to be executed later to release the lock
  680.      *
  681.      * @throws \DomainException When an unsupported PDO driver is used
  682.      *
  683.      * @todo implement missing advisory locks
  684.      *       - for oci using DBMS_LOCK.REQUEST
  685.      *       - for sqlsrv using sp_getapplock with LockOwner = Session
  686.      */
  687.     private function doAdvisoryLock(string $sessionId): \PDOStatement
  688.     {
  689.         switch ($this->driver) {
  690.             case 'mysql':
  691.                 // MySQL 5.7.5 and later enforces a maximum length on lock names of 64 characters. Previously, no limit was enforced.
  692.                 $lockId substr($sessionId064);
  693.                 // should we handle the return value? 0 on timeout, null on error
  694.                 // we use a timeout of 50 seconds which is also the default for innodb_lock_wait_timeout
  695.                 $stmt $this->pdo->prepare('SELECT GET_LOCK(:key, 50)');
  696.                 $stmt->bindValue(':key'$lockId, \PDO::PARAM_STR);
  697.                 $stmt->execute();
  699.                 $releaseStmt $this->pdo->prepare('DO RELEASE_LOCK(:key)');
  700.                 $releaseStmt->bindValue(':key'$lockId, \PDO::PARAM_STR);
  702.                 return $releaseStmt;
  703.             case 'pgsql':
  704.                 // Obtaining an exclusive session level advisory lock requires an integer key.
  705.                 // When session.sid_bits_per_character > 4, the session id can contain non-hex-characters.
  706.                 // So we cannot just use hexdec().
  707.                 if (=== \PHP_INT_SIZE) {
  708.                     $sessionInt1 $this->convertStringToInt($sessionId);
  709.                     $sessionInt2 $this->convertStringToInt(substr($sessionId44));
  711.                     $stmt $this->pdo->prepare('SELECT pg_advisory_lock(:key1, :key2)');
  712.                     $stmt->bindValue(':key1'$sessionInt1, \PDO::PARAM_INT);
  713.                     $stmt->bindValue(':key2'$sessionInt2, \PDO::PARAM_INT);
  714.                     $stmt->execute();
  716.                     $releaseStmt $this->pdo->prepare('SELECT pg_advisory_unlock(:key1, :key2)');
  717.                     $releaseStmt->bindValue(':key1'$sessionInt1, \PDO::PARAM_INT);
  718.                     $releaseStmt->bindValue(':key2'$sessionInt2, \PDO::PARAM_INT);
  719.                 } else {
  720.                     $sessionBigInt $this->convertStringToInt($sessionId);
  722.                     $stmt $this->pdo->prepare('SELECT pg_advisory_lock(:key)');
  723.                     $stmt->bindValue(':key'$sessionBigInt, \PDO::PARAM_INT);
  724.                     $stmt->execute();
  726.                     $releaseStmt $this->pdo->prepare('SELECT pg_advisory_unlock(:key)');
  727.                     $releaseStmt->bindValue(':key'$sessionBigInt, \PDO::PARAM_INT);
  728.                 }
  730.                 return $releaseStmt;
  731.             case 'sqlite':
  732.                 throw new \DomainException('SQLite does not support advisory locks.');
  733.             default:
  734.                 throw new \DomainException(sprintf('Advisory locks are currently not implemented for PDO driver "%s".'$this->driver));
  735.         }
  736.     }
  738.     /**
  739.      * Encodes the first 4 (when PHP_INT_SIZE == 4) or 8 characters of the string as an integer.
  740.      *
  741.      * Keep in mind, PHP integers are signed.
  742.      */
  743.     private function convertStringToInt(string $string): int
  744.     {
  745.         if (=== \PHP_INT_SIZE) {
  746.             return (\ord($string[3]) << 24) + (\ord($string[2]) << 16) + (\ord($string[1]) << 8) + \ord($string[0]);
  747.         }
  749.         $int1 = (\ord($string[7]) << 24) + (\ord($string[6]) << 16) + (\ord($string[5]) << 8) + \ord($string[4]);
  750.         $int2 = (\ord($string[3]) << 24) + (\ord($string[2]) << 16) + (\ord($string[1]) << 8) + \ord($string[0]);
  752.         return $int2 + ($int1 << 32);
  753.     }
  755.     /**
  756.      * Return a locking or nonlocking SQL query to read session information.
  757.      *
  758.      * @throws \DomainException When an unsupported PDO driver is used
  759.      */
  760.     private function getSelectSql(): string
  761.     {
  762.         if (self::LOCK_TRANSACTIONAL === $this->lockMode) {
  763.             $this->beginTransaction();
  765.             // selecting the time column should be removed in 6.0
  766.             switch ($this->driver) {
  767.                 case 'mysql':
  768.                 case 'oci':
  769.                 case 'pgsql':
  770.                     return "SELECT $this->dataCol$this->lifetimeCol$this->timeCol FROM $this->table WHERE $this->idCol = :id FOR UPDATE";
  771.                 case 'sqlsrv':
  772.                     return "SELECT $this->dataCol$this->lifetimeCol$this->timeCol FROM $this->table WITH (UPDLOCK, ROWLOCK) WHERE $this->idCol = :id";
  773.                 case 'sqlite':
  774.                     // we already locked when starting transaction
  775.                     break;
  776.                 default:
  777.                     throw new \DomainException(sprintf('Transactional locks are currently not implemented for PDO driver "%s".'$this->driver));
  778.             }
  779.         }
  781.         return "SELECT $this->dataCol$this->lifetimeCol$this->timeCol FROM $this->table WHERE $this->idCol = :id";
  782.     }
  784.     /**
  785.      * Returns an insert statement supported by the database for writing session data.
  786.      */
  787.     private function getInsertStatement(string $sessionIdstring $sessionDataint $maxlifetime): \PDOStatement
  788.     {
  789.         switch ($this->driver) {
  790.             case 'oci':
  791.                 $data fopen('php://memory''r+');
  792.                 fwrite($data$sessionData);
  793.                 rewind($data);
  794.                 $sql "INSERT INTO $this->table ($this->idCol$this->dataCol$this->lifetimeCol$this->timeCol) VALUES (:id, EMPTY_BLOB(), :expiry, :time) RETURNING $this->dataCol into :data";
  795.                 break;
  796.             default:
  797.                 $data $sessionData;
  798.                 $sql "INSERT INTO $this->table ($this->idCol$this->dataCol$this->lifetimeCol$this->timeCol) VALUES (:id, :data, :expiry, :time)";
  799.                 break;
  800.         }
  802.         $stmt $this->pdo->prepare($sql);
  803.         $stmt->bindParam(':id'$sessionId, \PDO::PARAM_STR);
  804.         $stmt->bindParam(':data'$data, \PDO::PARAM_LOB);
  805.         $stmt->bindValue(':expiry'time() + $maxlifetime, \PDO::PARAM_INT);
  806.         $stmt->bindValue(':time'time(), \PDO::PARAM_INT);
  808.         return $stmt;
  809.     }
  811.     /**
  812.      * Returns an update statement supported by the database for writing session data.
  813.      */
  814.     private function getUpdateStatement(string $sessionIdstring $sessionDataint $maxlifetime): \PDOStatement
  815.     {
  816.         switch ($this->driver) {
  817.             case 'oci':
  818.                 $data fopen('php://memory''r+');
  819.                 fwrite($data$sessionData);
  820.                 rewind($data);
  821.                 $sql "UPDATE $this->table SET $this->dataCol = EMPTY_BLOB(), $this->lifetimeCol = :expiry, $this->timeCol = :time WHERE $this->idCol = :id RETURNING $this->dataCol into :data";
  822.                 break;
  823.             default:
  824.                 $data $sessionData;
  825.                 $sql "UPDATE $this->table SET $this->dataCol = :data, $this->lifetimeCol = :expiry, $this->timeCol = :time WHERE $this->idCol = :id";
  826.                 break;
  827.         }
  829.         $stmt $this->pdo->prepare($sql);
  830.         $stmt->bindParam(':id'$sessionId, \PDO::PARAM_STR);
  831.         $stmt->bindParam(':data'$data, \PDO::PARAM_LOB);
  832.         $stmt->bindValue(':expiry'time() + $maxlifetime, \PDO::PARAM_INT);
  833.         $stmt->bindValue(':time'time(), \PDO::PARAM_INT);
  835.         return $stmt;
  836.     }
  838.     /**
  839.      * Returns a merge/upsert (i.e. insert or update) statement when supported by the database for writing session data.
  840.      */
  841.     private function getMergeStatement(string $sessionIdstring $dataint $maxlifetime): ?\PDOStatement
  842.     {
  843.         switch (true) {
  844.             case 'mysql' === $this->driver:
  845.                 $mergeSql "INSERT INTO $this->table ($this->idCol$this->dataCol$this->lifetimeCol$this->timeCol) VALUES (:id, :data, :expiry, :time) ".
  846.                     "ON DUPLICATE KEY UPDATE $this->dataCol = VALUES($this->dataCol), $this->lifetimeCol = VALUES($this->lifetimeCol), $this->timeCol = VALUES($this->timeCol)";
  847.                 break;
  848.             case 'sqlsrv' === $this->driver && version_compare($this->pdo->getAttribute(\PDO::ATTR_SERVER_VERSION), '10''>='):
  849.                 // MERGE is only available since SQL Server 2008 and must be terminated by semicolon
  850.                 // It also requires HOLDLOCK according to https://weblogs.sqlteam.com/dang/2009/01/31/upsert-race-condition-with-merge/
  851.                 $mergeSql "MERGE INTO $this->table WITH (HOLDLOCK) USING (SELECT 1 AS dummy) AS src ON ($this->idCol = ?) ".
  852.                     "WHEN NOT MATCHED THEN INSERT ($this->idCol$this->dataCol$this->lifetimeCol$this->timeCol) VALUES (?, ?, ?, ?) ".
  853.                     "WHEN MATCHED THEN UPDATE SET $this->dataCol = ?, $this->lifetimeCol = ?, $this->timeCol = ?;";
  854.                 break;
  855.             case 'sqlite' === $this->driver:
  856.                 $mergeSql "INSERT OR REPLACE INTO $this->table ($this->idCol$this->dataCol$this->lifetimeCol$this->timeCol) VALUES (:id, :data, :expiry, :time)";
  857.                 break;
  858.             case 'pgsql' === $this->driver && version_compare($this->pdo->getAttribute(\PDO::ATTR_SERVER_VERSION), '9.5''>='):
  859.                 $mergeSql "INSERT INTO $this->table ($this->idCol$this->dataCol$this->lifetimeCol$this->timeCol) VALUES (:id, :data, :expiry, :time) ".
  860.                     "ON CONFLICT ($this->idCol) DO UPDATE SET ($this->dataCol$this->lifetimeCol$this->timeCol) = (EXCLUDED.$this->dataCol, EXCLUDED.$this->lifetimeCol, EXCLUDED.$this->timeCol)";
  861.                 break;
  862.             default:
  863.                 // MERGE is not supported with LOBs: https://oracle.com/technetwork/articles/fuecks-lobs-095315.html
  864.                 return null;
  865.         }
  867.         $mergeStmt $this->pdo->prepare($mergeSql);
  869.         if ('sqlsrv' === $this->driver) {
  870.             $mergeStmt->bindParam(1$sessionId, \PDO::PARAM_STR);
  871.             $mergeStmt->bindParam(2$sessionId, \PDO::PARAM_STR);
  872.             $mergeStmt->bindParam(3$data, \PDO::PARAM_LOB);
  873.             $mergeStmt->bindValue(4time() + $maxlifetime, \PDO::PARAM_INT);
  874.             $mergeStmt->bindValue(4time(), \PDO::PARAM_INT);
  875.             $mergeStmt->bindParam(5$data, \PDO::PARAM_LOB);
  876.             $mergeStmt->bindValue(6time() + $maxlifetime, \PDO::PARAM_INT);
  877.             $mergeStmt->bindValue(6time(), \PDO::PARAM_INT);
  878.         } else {
  879.             $mergeStmt->bindParam(':id'$sessionId, \PDO::PARAM_STR);
  880.             $mergeStmt->bindParam(':data'$data, \PDO::PARAM_LOB);
  881.             $mergeStmt->bindValue(':expiry'time() + $maxlifetime, \PDO::PARAM_INT);
  882.             $mergeStmt->bindValue(':time'time(), \PDO::PARAM_INT);
  883.         }
  885.         return $mergeStmt;
  886.     }
  888.     /**
  889.      * Return a PDO instance.
  890.      *
  891.      * @return \PDO
  892.      */
  893.     protected function getConnection()
  894.     {
  895.         if (null === $this->pdo) {
  896.             $this->connect($this->dsn ?: ini_get('session.save_path'));
  897.         }
  899.         return $this->pdo;
  900.     }
  901. }