Где хранить сессии? SQLite? MySQL? Memcached? Redis? FS?

Question

[John Didact]

Храню сессии в ФС. Для авторизованных пользователей - в одной папке, для неавторизованных - в другой. В папке неавторизованных демоном хожу и удаляю старые сессии. Вроде бы норм… Но решил я взглянуть в будущее: там директории, что с неавторизованными, что, особенно, с авторизованными сессиями, забиты в край! В этом я увидел много минусов: чтение директории усложнится, могу превысить лимит кол-ва файлов (я на shared-хостинге, так как на большее у меня нет ни денег, ни мозгов).
В общем, решил, что нужно искать другое хранилище. Почитал о способах хранения…

Какие выводы я сделал для себя? От худшего к лучшему, на мой взгляд:

1) Хранить дальше в ФС
Минусы: операция открытия и чтения файла, как я понял, слегка дороговата… Ограничение файлов, сложность чтения огроменного каталога.
Плюсы: лёгкая реализация и надёжность сохранности.
2) MySQL
Минусы: я вообще хочу минимизировать запросы к MySQL. В MySQL храню, в основном, большие данные, которые не редко меняются или данные, которые потом храню в сессии. Опять же, как я понял, множество запросов к мускулу и получение результа дольше, чем чтение файла (я не говорю, что соединение с мускулом дольше, чем открытие и чтение файла… я именно про запросы и получение результа). Соединение с сервером БД может по какой-либо причине оборваться.
Плюсы: лёгкая реализация, надёжность сохранения сессии (если считать, что соединение всегда установится)
3) Memcache/Redis
Ну об этих штуках я мало что знаю… Говоря про кэш, раньше я хранил кэш тупо в ФС. Вчера понял, что это не Найс и на кэш написал класс, который принимает данные кэша и класс сам определяет, по мере доступности, где его сохранить, в Memcached, SQLite или в ФС. С Memcached я ещё особо не разобрался. На своем хостинге я не нашел класс Memcache, зато нашёл Memcached, его нужно было принудительно врубить… От куда взять сервер - я вообще без понятий)) Написал localhost с портом 11211… хз, вроде работает. С Redis'ом вообще ещё даже не ознокамливался. Ну это на потом. С кэшем я разберусь… Хотел бы в ОП хранить его, и буду. Но вот сессии…
Минусы: я пока ещё не разобрался с Memcached и это минус (скорее минус мне, но всё же). Как я понял, Memcached может упасть в любой момент. И там уже нужно поднапречься, чтобы создавать дампы, цепочки северов и прочее. Жизнь и без этого сложна, не хочется ещё больше её усложнять. В Memcached я буду хранить кэш, который не критично потерять, не хотелось бы всё это смешивать в одной области.
Плюсы: всё довольно быстро (как я понял)
4) SQLite
Как по мне, в соотношении надёжный / быстрый / лёгкий - самый молодец!
Минусы: почти те же, что и у ФС за исключением размера каталога и кол-ва файлов. На счёт открытия и чтения файла я не вдавался в подробности, как там всё это происходит. Но, думаю, тоже так же, как обычное открытие и чтение. Здесь это не критично. Мне более важны размер каталога и кол-во файлов. Вот на счёт блокировки файла таблицы я ещё не совсем понял. Если 100 пользователей одновременно зайдут на сайт, что произойдёт? Они в очередь встанут или сломаются? За тайм-аут не выйдут?
Плюсы: легко, быстро…

Ещё читал про хранение на стороне клиента в куках, зашифровано, с ключом и т.д. но мне вообще это не подходит. Я не доверяю данным клиента, даже id сессии из Кук проверяю. Да и ограничение данных в куках. В общем, от этого сразу отказался.

Предпочел я SQLite. Какие камни меня ждут? И что посоветуете для хранения сессий, кроме ФС?

Comments

[John Didact]

Блин, DevMan ты задрал)) нафига тэги SQLite, БД и кэширования удалил? Тут ведь вопрос касаемо всего этого. Мне что, отдельно под каждый тег конкретный вопрос задавать?

Уже какой раз удаляешь важные теги, потом мой вопрос висит неделями без ответа. Лучше бы теги PHP, хранение данных и сессии удалил, а остальное всё оставил. Люди хорошо знающие Memcached, SQLite, MySQL и методы кэширования больше знают, касаемо моего вопроса, чем простые PHPшники {смайл злого фэйспалма}.

[Дмитрий]

Можно запилить свой хэндлер и разгрузить чуть директории, ну а вообще выглядет как параноя

[DevMan]

John Didact, тега SQLite в вопросе не было. а БД и кэширование – вообще про другое.

[John Didact]

DevMan, ну SQLite - это ведь БД. А Memcached - это кэширование))

[John Didact]

Дмитрий, да, но файлов сессии авторизованных пользователей будет много и их я не удаляю, только по желанию владельца сессии. У владельца редко такое желание появляется)

[DevMan]

John Didact, а php – это язык программирования, написанный на си, работающий на компьютере, собранном из разных компонентов, но это не повод все эти теги указать к вопросу.

[John Didact]

DevMan, я ничего не говорил про ЯП, C, компьютеры, его компоненты, зато говорил про базы данных, такие, как MySQL, SQLite и ждал совета о других методах (включая другие БД) и про кэширование, типа Memcached и Redis.

[d'Ivan]

На всякий случай:

как работает очистка сессий

https://canvas.seattlecentral.edu/courses/937693/p...

Garbage Collection: On every call to session_start(), PHP performs a calculation that determines if expired session data should be eliminated. So a session file can be deleted after it’s session.gc_maxlifetime, but it may reside on the server longer, depending on the amount of sessions created. The more sessions are used on a particular server, the more frequently the possibility of garbage collection can occur. On a very quiet site, sessions could in theory last quite a long time!

Answer 1

[FanatPHP]

Храни в мускуле.

Файлы, действительно - самый неудачный вариант. Сара Големон, отвечая недавно на подобный вопрос, написала

File storage is only a default because the runtime doesn't know in advance what database engine or credentials you're going to use unless you tell it. So... ya know.... tell it.

То есть файлы - это от безысходности, и по-хорошему пхп бы хранил в базе, но просто не знает, в какой и как с ней соединяться.

Редис и мемкеш - это кэш, а не хранилище. Подумай над тем, что такое кэш и для чего он используется. И подходит ли кэш для хранения сессий.

Про скулиту ты все правильно написал. Те же файлы, вид сбоку.

А про мускуль очень смешно. Какая-то прямо повальная датабазебоязнь. Откуда это "я вообще хочу минимизировать запросы к MySQL"? Что за ерунда про "соединение может оборваться"? И как ты вообще можешь сравнивать по производительности файл на диске, который открывается при каждом запросе, с демоном, который держит все данные в памяти и отдает по сокету?

Comments

[John Didact]

На счёт ФС не спорю

Я понимаю, что такое кэш, а что такое хранилище. Я ведь написал, что читал о способах хранения сессии. И то, что это кэш, а не хранилище, я косвенно отметил в его минусах

В Memcached я буду хранить кэш, который не критично потерять, не хотелось бы всё это смешивать в одной области.

Вариант с SQLite мне так понравился… но блин, эти минусы(

… я не говорю, что соединение с мускулом дольше, чем открытие и чтение файла… я именно про запросы и получение результа

- ну запрос потом ответ - это ведь время… большее, чем просто чтение. Нет что ли?)

Возьмём MySQL метод хранения будет отличным от метода хранения в файлах? Без сериализации? По id сессии каждый раз запрашивать разные данные и обрабатывать их каждый запрос? Или нормальным считается получить данные, обработать их, сериализовать и сохранить в БД? Потом доставать и просто десериализовать без необходимости обработки (как в начале самом)?

[FanatPHP]

Ты как и все твои собратья по разуму почему-то демонизируешь мускуль. Выдумываешь какие-то мифические запросы, "ответы". Ты можешь внятно объяснить чем "ответ" мускуля отличается от "ответа" скулиты? Что принципиально мускуль делает такого, чего не делает любая другая программа, когда ты запрашиваешь у неё данные?

[Max Kostikov]

В принципе, правильно, однако по современным файловым системам всё не так однозначно. Некоторые из них умеют по-умному кэшировать данные в памяти, производить их запись и т.п. То есть, если по-взрослому, на практике надо смотреть как всё это себя ведёт при различных конфигурациях и нагрузках.

[John Didact]

FanatPHP, не демонизирую я ничего и никого. Ничего я не выдумываю. Я уточняю. А разве нет никаких ответов / запросов?)
Могу. SQLite более примитивна, если сравнивать с мускулом. Поэтому, думаю, запросы типа Select обрабатываются быстрее. Я не прав?

[FanatPHP]

Жигули примитивнее Ниссана. Поэтому ездят быстрее. Я прав?

[John Didact]

FanatPHP, не в этом плане. SQLite не содержит кучу функций, настроек, констант и прочего, что нужно всегда проверять.

[FanatPHP]

John Didact, как не в этом? как раз в этом. Жигули не содержат турбонаддув, раздельное зажингание ,по две свечи на цилиндр. По-твоему оно в ниссане само по себе работает, без настроек и "кучи функций/деталей"?

[John Didact]

FanatPHP, это совсем разное)) что за тупая привычка в этом сообществе вечно сравнивать абсолютно разные понятия?)
Скорость машины зависит от этих новоротов. Чем больше новоротов, тем больше скорость.
Скорость запросов зависит от проверок. Чем больше проверок, теми меньше скорость.

[John Didact]

FanatPHP, ладно… оставим этот холивар. Я написал ранее

Возьмём MySQL метод хранения будет отличным от метода хранения в файлах? Без сериализации? По id сессии каждый раз запрашивать разные данные и обрабатывать их каждый запрос? Или нормальным считается получить данные, обработать их, сериализовать и сохранить в БД? Потом доставать и просто десериализовать без необходимости обработки (как в начале самом)?

что об этом думаешь?

[FanatPHP]

каких ещё "проверок"?
что ты ещё себе выдумал?

[FanatPHP]

я думаю тут надо делать комбинированный вариант.
часть полей точно должна быть стркутурированной, такия как юзер айди например
но так же и блоб бдля хранения сериализованной информации в свободной форме.

[John Didact]

FanatPHP, хорошо. А отдельную базу создавать под сессии - норм? Или в основой (где юзеры, посты, какашки и т.д.) всё это лучше хранить?

[FanatPHP]

Опять вопрос - зачем? У тебя есть хоть одна реальная причина кроме все тех же страхов и фантазий?

[John Didact]

FanatPHP, нет. Только страхи и фантазии.

[FanatPHP]

я сейчас не издеваюсь
я действительно очень часто вижу такое отношение - база данных это какое-то трашное, непонятное, сложное и медленное чудовище, которое лучше без нужды не трогать.
и это отношение в корне неправильное

[John Didact]

FanatPHP, я лично сравнивал. Брал данные из БД MySQL, сохранял их в файл и в SQlite. Сравнивал… Сто раз получал эти данные из файла - быстро. Столько же раз запрос к SQLite - тоже не долго. Далее, сто раз запрос в БД MySQL - долго, заметно долго. Замеры не проводил, просто проверил. Делал это на OSpanel. От сюда у меня лично такое мнение о мускуле и сложилось.

[FanatPHP]

ели долго - надо разбираться почему

[John Didact]

FanatPHP, ок, буду разбираться)

[FanatPHP]

Мложешь подробнее написать?
Вот даже интересно.

Все что я могу предположить - это непрогретая БД на локальном компе, которая еще и выгружается в своп, из-за того тчо практически не используется.
И действительно тогда будет тормозить
Если подумтаь, то на локальном компе под виндой пожалуй скулита действительно может быть быстрее.

можешь сделать абстрактный драйвер и подключать БД на лету

[John Didact]

FanatPHP, я не знаю, что такое "своп", что, когда и зачем туда выгружается тоже не знаю)) обязательно прочту об этом.

Остальное, скорее, всё верно.

[FanatPHP]

Да ладно. Любой пользователь винды знает что такое своп

[John Didact]

FanatPHP, я знал о существовании файла подкачки, но не знал, что он завётся свопом)

[John Didact]

Max Kostikov, FanatPHP, Roman Kitaev,

Cегодня поработал с кэшем (именно с кэшем, не с хранилищем для сессий, чуть отойду от темы)… написал класс для кэширования, который, в зависимости от доступности или при указании, кэширует образом: Memcached, SQLite, файловая система. Некоторые данные кэшировал. Сравнил. Ну и в общем, чтение данных с фл было быстрее, чем с БД, которая была быстрее Memcahed. Я ожидал прямо противоположный результат)) А воот в плане записи в кэш - противоположный результат.

Я не сравнивал множество записей в кэш, множество чтения данных из кэша. Ну и одновременную запись в кэш множеством юзеров и одновременное чтение из кэша множеством юзеров тоже не сравнивал. Этим займусь послезавтра.

[Max Kostikov]

John Didact, запись это ожидаемо, но, опять же, зависит от "интеллектуальности" файловой системы. Крайне любопытно как это будет себя вести в плане производительности на, к примеру, ZFS. И, конечно, желательно всё это на baremetal для чистоты эксперимента.
И, мне кажется, у вас есть отличный повод написать статью на тему.
Спасибо!

[FanatPHP]

John Didact, почитай анекдот про у таракана уши в ногах.

"Протестировать" мало, надо ещё понимать что ты делаешь.
Писать тесты тоже надо уметь. При тестировании надо учитывать миллион нюансов.
И при этом результаты все равно могут поменяться на противоположные под реальной нагрузкой.

В данном случае ты скорее всего тестировал кэш файловой системы.

[John Didact]

FanatPHP, я понимал, что я делал. И учитываю разные нюансы. Я не претендую на научность и т.п.
Я знаю, что результаты могут поменяться под реальной нагрузкой:

Я не сравнивал множество записей в кэш, множество чтения данных из кэша. Ну и одновременную запись в кэш множеством юзеров и одновременное чтение из кэша множеством юзеров тоже не сравнивал. Этим займусь послезавтра.

Я тестировал не именно "что как работает на baremetal", я сравнивал методы кэширования. Просто сравнил для себя и написал сюда, что я заметил.

[FanatPHP]

John Didact, если результаты полностью противоположны твоим ожиданиям, то надо писать не коммент, а вопрос, подробно излагая методику тестирования и спрашивая совета, как её улучшить.

При прочих равных - достаточном объёме данных и большом количестве запросов к разным (а не одни и тем же ) блокам данных - цепочка должна быть от файлы - база - мемкеш (от медленных к быстрым)

Твои же результаты показывают, что кэшированиие тебе сто лет в обед не нужно на твоих задачах.

И в этом смысле мы снова упираемся в закон, что кэшировать надо то что тормозит, а не по принципу "у нормальных пасанов есть, и у меня должно быть!".
Вот в для этого последнего случая результаты у тебя на 100% релевантные

[John Didact]

FanatPHP, что тут спрашивать о методике? Простой один addServer(), один get() и один set() к Memcahed… что тут может быть ещё лучше? Простая вставка и получение записи в и из БД. Обычная запись в файл…

Я и так кэширую только то, что тормозит. В том, что проверял: дерево разделов форума: брал все данные из базы, обрабатывал каждый раздел и строил из него многомерный массив… паралельно заполняя другой массив. Эти данные хранил в кэш.

Я не сижу на за компом круглые сутки и вообще уделяю этому мало времени, так как работаю вообще в не связанной сфере и помимо этого всего есть ещё личная жизнь. Я не позиционирую себя как разраба/программиста/кодера какого бы там ни было уровня. Я даже в описании о себе (или что тут) написал об этом. Зачем я сказал об этом? Затем, что я не интересуюсь тем, что "у нормальных пасанов есть…" и побоку на "… у меня должно быть".

Я и отметил, что проверял не множество… И потом ещё проверю, уже данные посерьёзнее.

[John Didact]

FanatPHP, касаемо кэша: Я тут об APCu прочитал…

[batyrmastyr]

FanatPHP, так он тестировал кэш, а значит чтение из файлов просто обязано быть быстрее всего остального, так как содержимое файлов лежит готовенькое в OpCache или ФС.

John Didact, у прописанного вами мемкеша на localhost:11211 есть ещё один жирный минус: доступ в него имеют все ваши соседи по серверу, а значит, когда кто-то из соседей придумает для своих данных такой же ключ, как и вы, в мемкеше по этому ключу будут лежать то его данные, то ваши. Ну и про угрозы безопасности тоже не забываем.

Для сессий не много (тысячи) файлы могут оказаться быстрее мемкеша или базы, но хранение их в базе, дополненными полезными вам полями, даст возможность легко найти сессии по условиям, а значит легко возможны: (1) быстрая чистка устаревших сессий (2) «закрыть все сессии, кроме текущей» (3) привязка сессии к IP адресу/подсети/провайдеру/городу/браузеру. (4) «другие пользователи в сети» и прочее.

[John Didact]

batyrmastyr, хм… не думал даже об этом, спасибо.

[batyrmastyr]

John Didact, в общем-то у некотрых хостеров можно поднять мемкеш чисто для себя:

memcached -d -m memory -s $HOME/memcached.sock -P $HOME/memcached.pid

, в addServer указать абсолютный путь до memcached.sock и не бояться вторжения. Но тут придётся сделать так, чтобы ваш код не падал, если мемкеш почему-то умер. Хотя сам по себе он не умирает, но после, например, перезагрузки сервера сам по себе не поднимется.

Answer 2

[Roman K]

SQLite и ФС — абсолютно не подходят, если приложение будет масштабироваться

Серверы БД (MySQL/PostgreSQL/etc.) — надёжный но самый медленный вариант

In-memory БД (Redis/memcached) — отличный вариант, из всех выше, самый производительный, но можно упереться в оперативку

Signed Cookie Session (и его частный случай — JWT) — неописанный тобой вариант, самый экономный по памяти и диску и самый производительный. Сессия хранится прямо в куке. Сами данные сериализуются, например, JSON'ом и сжимаются, например, gzip'ом (но можно и msgpack + lzma взять, как угодно). После, чтобы пользователь (или хакер) не поменял куку по своему желанию, она подписывается, например, HMAC'ом + любой криптостойкой хэш-функцией
Из плюсов: 0 байт занятой оперативы (кроме момента выполнения запроса), 0 байт занимаемого места на диске, нет зависимостей от баз данных
Из минусов: нет возможности "разлогинить все остальные сессии" по запросу пользователя, небольшой сетевой оверхэд, так как сессия от браузера отправляется на каждый запрос, ограничение на размер данных в сессии, потому что данных должны влезть в куку, включая подпись и разделители. Но ради эксперимента, мне удалось засунуть в такую сессию первую главу Войны и мира сжатой, прежде чем упереться в лимит.

Comments

[John Didact]

А SQLite почему не подходит под условие масштабирования? Я же в ней только сессии хранить буду. Или дело в блокировке, а не в размере?

Согласен, медленно.

Да, и это плохо))

Поверхностно я его описал

Ещё читал про хранение на стороне клиента в куках, зашифровано, с ключом и т.д. но мне вообще это не подходит. Я не доверяю данным клиента, даже id сессии из Кук проверяю. Да и ограничение данных в куках. В общем, от этого сразу отказался.

Спасибо за ответ)

[FanatPHP]

Тебе тоже читать, что такое кэш

[Roman K]

FanatPHP, ?

[John Didact]

FanatPHP, почему "тоже"?) Типа сначала мне, потом ему?) Я понимаю, что это кэш и хранить сессии в кэш - это даже опасно, не говоря о том, что кэш предназначен для временного хранения данных, которые потерять некритично и ничего не сломается от потери…

Но я читал много где, даже на Хабре, даже в документации PHP, что сессии хранят в Memcached.

Да, повторюсь, я понимаю, что это неправильно: сессия не будет блокироваться, что может привести к проблеме (как например открытие во фреймах несколько страниц, или несколько запросов AJAX, или открытие страницы в двух окнах одновременно); сессию легко потерять, от чего пользователь разлогинется; в кэш хранятся данные, которые потерять не страшно.

[Roman K]

John Didact,

А SQLite почему не подходит под условие масштабирования? Я же в ней только сессии хранить буду. Или дело в блокировке, а не в размере?

Дело в том, что твоё приложение может находиться на физически разных машинах или в докер-контейнерах, или и то, и другое (docker swarm / kubernetes / AWS). ФС туда не монтируют.

[John Didact]

Roman Kitaev, моё приложение находится на одной машине… или я чего-то не знаю?)

[Roman K]

John Didact, если ты осознаёшь, что масштабироваться не придётся и готов мириться с минусами sqlite (того, что в него нельзя писать в несколько потоков) — можно брать. Но я уже сказал, что есть более простые решения, которые просто лучше)

[John Didact]

Roman Kitaev, то, что в несколько потоков не записать - это плохо, с этим я не смогу смириться)
Хорошо, спасибо.

[batyrmastyr]

Roman Kitaev, вот только JWT - это
1) сложнее стандартных сессионных кук
2) дырявый хлам, который нужно заменять на Paseto.
3) Ни в JWT, ни в Paseto нельзя хранить права пользователей, только идентификатор сессии с обязательной проверкой прав на стороне сервера.
И популярные в народе пляски с двумя токенами (один из которых нужен только для получения нового токена) ничего не дают.

John Didact,
Глянул к себе в таблицу сессий (срок хранения - месяц), увидел цифру 175 000, ужаснулся, но тормозов не увидел. Я как-то сомневаюсь, что на ваших объёмах будут заметны тормоза от сессий в MySql или любой другой полноценной базе (не в SqLite).

[John Didact]

batyrmastyr, а я вот подумал, но не решился… если я буду хранить сессии в какой-нибудь NoSQL базе и при этом использовать MySQL для, например, форума, профилей и т.п. Вторая база - это будет лишним, как считаете?

[batyrmastyr]

John Didact, заводить ещё одну базу под сессии - это сильно преждевременная оптимизация и лишняя возня при резервном копировании / восстановлении. Очень не факт, что вам это когда-либо понадобится, а к тому времени и вы успеете набраться опыта, и новые, более подходящие, решения могут появиться.
Лишние записи в базу можно отсечь:
1) Не создавайте сессии без нужды: если нет сессионной куки, значит сессиию запускать не нужно. Вот когда он решит авторизоваться - тогда и запускайте сессию. В моём примере из 175 000 сессий авторизованных меньше 1 000. Такой вот пример почему не стоит плодить сессии для "анонимов" и что можно на этом выиграть.
2) Если будете хранить в сессии время последнего посещения, то меняйте его не чаще, чем раз в минуту - пять. Так в большинстве случаев у вас будет только чтение сессий.

[Roman K]

batyrmastyr, прочитал статью, не увидел, где JWT дырявый. Кроме очевидного "не давай JWT хакеру" и "валидируй JWT", в чём он дырявый-то?

Answer 3

[Сергей Пуговкин]

(я на shared-хостинге, так как на большее у меня нет ни денег, ни мозгов).

Если проект мелкий, то файлов будет достаточно. Если не настроена автоочиска - настроить.
В остальном, можно использовать Redis. Это база данных, а не кэш, как, например, memcache.

Про скулиту ты все правильно написал. Те же файлы, вид сбоку.

Это больше про MySQL. Sqlite - это только один файл и проблема тут может быть только с горизонтальной масштабируемостью (например, при кластеризации проекта).
И не самая лучшая идея хранить часто удаляемые/изменяемые данные в БД - это приведёт к её дефрагментации.

Comments

[FanatPHP]

- можно использовать Redis. Это база данных
- не самая лучшая идея хранить часто удаляемые/изменяемые данные в БД

Сразу видна недюжинная работа ума

[FanatPHP]

То, что редис, по сути, in-memory DB, и, как следствие, умеет писать на диск только в один поток, нас конечно не волнует.

Идет прапорщик по пустыне, навстречу осёл. Осёл спрашивает прапорщика,
- Ты кто?
- Я офицер! А ты кто?
- А я лошадь!

Вот БД из редиса как из того осла лошадь.

[John Didact]

И не самая лучшая идея хранить часто удаляемые/изменяемые данные в БД - это приведёт к её дефрагментации.

разве изменение неиндексированного столбца (обновление) приводит к дефрагментации?

[FanatPHP]

John Didact, а при чем здесь вообще индексирование?
если у тебя была запись размером 500 байт, и ты обновил её, сделав размером 700, то в старое место оно уже не полезет - то есть надо будет дописать в конец файла, а старую пометить как неиспользуемую. Вот тебе и фрагментация.

Другое дело что наличие индекса, в котором прописаны смещения всех записей, снимает эту проблему практически полностью.