Механизм сессий и БД. Оптимизация

[Виталий Желтяков]

Ситуация:Пишу проект, который предполагает активную работу с данными из БД (базы данных) и высокие нагрузки по числу пользователей. Известно, что для запроса к БД требуется определённое время, а так как работа активная, то запросов очень много. Я бы хотел оптимизировать этот процесс и использовать для хранения определённых данных сессии. Т.е.:
- при подключении загонять данные из БД в сессии,
- потом пользователь работает с данными сессии,
- в определённый момент данные из сессии сохранять в БД.
Вопросы:
- Насколько приемлема такая схема?
- Какие могут быть проблемы?
- Когда и как лучше сохранять данные из сессий в БД?

[Vertexxx]

В сессии ни в коем случае нельзя хранить конфиденциальную информацию. Большому кораблю большое,как говорится, плавание, а раз такое дело, не лишним будет позаботиться об отдельном сервере баз данных.

[Виталий Желтяков]

Цитата:

В сессии ни в коем случае нельзя хранить конфиденциальную информацию

Почему? Я не слышал об проблемах безопасности связанных с сессиями.

[Vertexxx]

Потому что, если Вы не позаботитесь в достаточной мере о безопасности сессии, а так же самой логики работы приложения, я смогу перехватить сессию (пусть через HTTP это сделать не так просто) и прочитать все конфиденциальные данные. Не подвергайте заведомой опасности тех, кого приручите.

[Виталий Желтяков]

Цитата:

Сообщение от Vertexxx

Потому что, если Вы не позаботитесь в достаточной мере о безопасности сессии, а так же самой логики работы приложения, я смогу перехватить сессию (пусть через HTTP это сделать не так просто) и прочитать все конфиденциальные данные. Не подвергайте заведомой опасности тех, кого приручите.

Как Вы можете перехватить сессии?

[mv28jam]

Цитата:

и прочитать все конфиденциальные данные

Прочитать данные вы не можете. Перехватив идентификатор сессии вы можете "стать другим пользователем", и увидеть данные, которые видит он, но прочитать что-то из сессии нельзя, тк с сессиями работают только серверные скрипты.

Цитата:

Вопросы:
- Насколько приемлема

Сессия будет храниться в файле на hdd, соответсвенно если их(сессий) станет много то рабоать это будет не быстреее mysql, выяснить будет ли лучше можно тестрованием. Для высоконагруженных приложений сессии и результаты запросов к бд сохраняют в memcached.

[Vertexxx]

Цитата:

Сообщение от mv28jam

Прочитать данные вы не можете. Перехватив идентификатор сессии вы можете "стать другим пользователем", и увидеть данные, которые видит он, но прочитать что-то из сессии нельзя, тк с сессиями работают только серверные скрипты.

Ну нельзя же быть настолько буквальным! Я что, сказал, что я буду сессию читать?

[Виталий Желтяков]

Цитата:

Ну нельзя же быть настолько буквальным! Я что, сказал, что я буду сессию читать?

Цитата:

я смогу перехватить сессию (пусть через HTTP это сделать не так просто) и прочитать все конфиденциальные данные

Vertexxx, пожалуйста, не постите, если не разбираетесь в данном вопросе.

Цитата:

Перехватив идентификатор сессии вы можете "стать другим пользователем", и увидеть данные

Возможность перехвата индефикатора сессии - это ошибки пользователя. Подделать идентификатор доольно сложно, и практически не возможно, если использовать дополнительную защиту (Uger Agent + SecretKey).

Цитата:

Для высоконагруженных приложений сессии и результаты запросов к бд сохраняют в memcached.

К сожалению, в моём проекте возможно перекрывание потоков, поэтому использование memcached опасно.

[mv28jam]

Цитата:

Сообщение от Виталий Желтяков

Возможность перехвата индефикатора сессии - это ошибки пользователя. Подделать идентификатор доольно сложно, и практически не возможно, если использовать дополнительную защиту (Uger Agent + SecretKey).

Сильно улучшит при мин затратах, + можно сохранять ip, или первые 3 части если ip динамический.

Цитата:

Сообщение от Виталий Желтяков

К сожалению, в моём проекте возможно перекрывание потоков, поэтому использование memcached опасно.

Не зная всей картины не могу сказать как этого избежать, но хранение сессий в memcached ничем не отличается от хранения в файлах, кроме скорости. Так что вы зря. Правда php есть баги связанные с хранением сессий нестандартными механизмами, если всё таки решите, могу подкинуть код и решение проблемы php.

[Виталий Желтяков]

Цитата:

Сильно улучшит при мин затратах, + можно сохранять ip, или первые 3 части если ip динамический.

Вариант бесспорно хороший - Я наверно так и сделаю.

Цитата:

Не зная всей картины не могу сказать как этого избежать, но хранение сессий в memcached ничем не отличается от хранения в файлах, кроме скорости. Так что вы зря. Правда php есть баги связанные с хранением сессий нестандартными механизмами, если всё таки решите, могу подкинуть код и решение проблемы php.

У меня система слишком сложная и возможно двойное обращение к одним и тем же данным хранимым в сессии. В memcached нет блокировки от двойного обращения, что может привести к "плохим" результатам.