Wenn man alle Anfragen einer Session durch Zend_Session bearbeitet haben will, muß die Session in der Bootstrap Datei gestartet werden:

Zend_Session::start();

Durch das Starten der Session in der Bootstrap Datei verhindert man das die Session gestartet werden könnte nachdem die Header an den Browser gesendet wurde, was zu einer Ausnahme und möglicherweise zu einer fehlerhaften Seiten im Browser führen würde. Viele gehobenen Features benötigen zuerst Zend_Session::start(). (Mehr dazu später in den gehobenen Features)

Es gibt vier Wege eine Session zustarten wenn Zend_Session verwendet wird. Zwei sind falsch.

Session Namensräume können gesperrt werden um weitere Veränderungen der Daten in diesem Namensraum zu verhindern. Die Verwendung von lock() macht einen speziellen Namensraum nur-lesbar, unLock() macht einen nur-lesbaren Namensraum les- und schreibbar, und isLocked() prüft ob ein Namensraum vorher gesperrt wurde. Sperren sind flüchtig und bestehen nicht von einer Anfrage zur nächsten. Die Sperre des Namensraumes hat keinen Effekt auf Setz-Methoden von Objekten welche im Namensraum gespeichert sind, aber sie verhindert die Verwendung der Setz-Methoden des Namensraumes welche das gespeicherte Objekt direkt im Namensraum löschen oder ersetzen. Gleichwohl verhindert das Sperren von Zend_Session_Namespace Instanzen nicht die Verwendung von symbolischen Tabellen-Aliasen auf die gleichen Daten (siehe PHP references).

$userProfileNamespace = new Zend_Session_Namespace('userProfileNamespace');

// marking session as read only locked
$userProfileNamespace->lock();

// unlocking read-only lock
if ($userProfileNamespace->isLocked()) {
    $userProfileNamespace->unLock();
}

Limits können plaziert werden an der Lebensdauer von beidem, Namensräumen und individuellen Schlüsseln in Namensräumen. Normale Anwendungsfälle beinhalten das Durchlaufen von temporären Informationen zwischen Anfragen, und das vermindern der Aufdeckung von vielfältigen Sicherheitsrisiken durch das Entfernen des Zugangs zu potentiell sensitiven Informationen, manchmal nachdem Authentifizierung stettgefunden hat. Das Ende kann entweder auf abgelaufenen Sekunden oder der Anzahl von "Sprüngen" basieren, wobei ein Sprung für jede folgende Anfrage stattfindet.

$s = new Zend_Session_Namespace('expireAll');
$s->a = 'Apfel';
$s->p = 'Pfirsich';
$s->o = 'Orange';

$s->setExpirationSeconds(5, 'a'); // Der Schlüssel "a" läuft in 5 Sekunden ab

// Der komplette Namensraum läuft in 5 "Sprüngen"
$s->setExpirationHops(5);

$s->setExpirationSeconds(60);
// Der "expireAll" Namensraum wird als "abgelaufen" markiert
// sobald der erste Aufruf empfangen wurde und 60 Sekunden
// vergangen sind, oder in 5 Sprüngen, was auch immer zuerst stattfindet

Wenn mit Daten einer Session gearbeitet wird, die in der aktuellen Anfrage ablaufen, sollte Vorsicht beim Empfangen dieser Daten gehalten werden. Auch wenn diese Daten durch Referenz zurückgegeben werden, wird die Änderung derselben, diese Daten nicht über diese Abfrage hinweg gültig machen. Um die Zeit für das Ablaufen "zurückzusetzen", müssen die Daten in eine temporäre Variable geholt werden, diese im Namensraum entfernt und anschliessend der entsprechende Schlüssel wieder gesetzt werden.

Namensräume können auch verwendet werden um den Zugriff auf Sessions durch Controller zu seperieren um Variablen vor Kontaminierung zu schützen. Zum Beispiel könnte ein Authentifizierungs Controller seine Session Daten von allen anderen Controllern separat halten um notwendigen Sicherheiten zu entsprechen.

// ...
// Im Frage-View Controller
$testSpace = new Zend_Session_Namespace('testSpace');
$testSpace->setExpirationSeconds(300, 'accept_answer');
// Nur diese Variable ablaufen lassen
$testSpace->accept_answer = true;
//...

// ...
// Im Frage-Prozess Controller
 $testSpace = new Zend_Session_Namespace('testSpace');
 if ($testSpace->accept_answer === true) {
     // innerhalb der Zeit
 }
 else {
     // nicht innerhalb der Zeit
 }
// ...

Obwohl session locking einen guten Grad von Schutz gegen unerlaubte Verwendung von Session Daten in einem Namensraum bietet, bietet Zend_Session_Namespace auch die Fähigkeit die Erzeugung von mehreren Instanzen zu verhindern die zu einem einzelnen Namensraum korrespondieren.

Um dieses Verhalten einzuschalten, muß TRUE als zweites Argument im Konstruktor angegeben werden wenn die letzte erlaubt Instanz von Zend_Session_Namespace erzeugt wurde. Jeder weitere Versuch den selben Namensraum zu instanzieren wird in einer geworfenen Ausnahme resultieren.

// Eine Instanz eines Namensraumes erstellen
$authSpaceAccessor1 = new Zend_Session_Namespace('Zend_Auth');

// Eine weitere Instanz des selben Namensraumes erstellen,
// aber weitere Instanzen verbieten
$authSpaceAccessor2 = new Zend_Session_Namespace('Zend_Auth', true);

// Eine Referenz erstellen ist immer noch möglich
$authSpaceAccessor3 = $authSpaceAccessor2;

$authSpaceAccessor1->foo = 'bar';

assert($authSpaceAccessor2->foo, 'bar');

try {
    $aNamespaceObject = new Zend_Session_Namespace('Zend_Auth');
} catch (Zend_Session_Exception $e) {
    echo 'Dieser Namensraum kann nicht instanziert werden da ' .
         '$authSpaceAccessor2 erstellt wurde\n';
}

Der zweite Parameter oben im Konstruktor sagt Zend_Session_Namespace das alle zukünftigen Instanzen mit dem Zend_Auth Namensraum nicht erlaubt sind. Der Versuch solche Instanzen zu erstellen verursacht eine Ausnahme die vom Konstruktor geworfen wird. Der Entwickler wird darauf aufmerksam gemacht eine Referenz zu einer Instanz des Objektes irgendwo zu speichern ($authSpaceAccessor1, $authSpaceAccessor2, oder $authSpaceAccessor3 im obigen Beispiel), wenn der Zugriff auf den Namensraum der Session zu einer späteren Zeit während des selben Requests benötigt wird. Zum Beispiel, könnte ein Entwickler die Referenz in einer statischen Variable speichern, die Referenz zu einer Registry hinzufügen (siehe Zend_Registry), oder diese andernfalls für andere Methoden verfügbar zu machen die Zugriff auf den Namensraum der Session benötigen.

Durch die Vergangenheit der Implmentationen der Magischen Methoden in PHP, wird das Ändern von Arrays innerhalb eines Namensraumes nicht unter PHP Versionen vor 5.2.1 funktionieren. Wenn nur mit PHP 5.2.1 oder neuer gearbeitet wird, kann zum nächsten Kapitel gesprungen werden.

$sessionNamespace = new Zend_Session_Namespace();
$sessionNamespace->array = array();
// wird nicht wie gewünscht funktionieren vor PHP 5.2.1
$sessionNamespace->array['testKey'] = 1;
echo $sessionNamespace->array['testKey'];

$sessionNamespace = new Zend_Session_Namespace('Foo');
$sessionNamespace->array = array('a', 'b', 'c');

Wenn eine betroffene Version von PHP verwendet wird and ein Array modifiziert werden soll nachdem es mit einem Schlüssel für den Session Namensraum verbunden wurde, kann einer oder beide der folgenden Workarounds verwendet werden.

$sessionNamespace = new Zend_Session_Namespace();

// Das ursprüngliche Array hinzufügen
$sessionNamespace->array = array('tree' => 'apple');

// Eine Kopie des Arrays erstellen
$tmp = $sessionNamespace->array;

// Die Kopie des Arrays ändern
$tmp['fruit'] = 'peach';

// Die Kopie des Arrays wieder mit dem Namensraum der Session verknüpfen
$sessionNamespace->array = $tmp;

echo $sessionNamespace->array['fruit']; // gibt "peach" aus

$myNamespace = new Zend_Session_Namespace('myNamespace');
$a = array(1, 2, 3);
$myNamespace->someArray = array( &$a );
$a['foo'] = 'bar';
echo $myNamespace->someArray['foo']; // gibt "bar" aus

Wenn Objekte in einer PHP Session fixiert werden sollen, muß bedacht werden das diese für das Speichern serialisiert werden. Deshalb muß jedes Objekt das in einer PHP Session verewigt wurde deserialisiert werden nachdem es vom Speicher empfangen wurde. Das impliziert das der Entwickler sicherstellen muß das die Klassen für das verewigte Objekt definiert werden müssen bevor das Objekt vom Session Speicher deserialisiert wird. Wenn die Klasse eines unserialisierten Objektes nicht definiert wurde, wird es eine Instand von stdClass.

Zend Framework vertraut auf PHPUnit um das Testen von sich selbst zu ermöglichen. Viele Entwickler erweitern die existierende Sammlung von Unit Tests um den Code in deren Anwendungen anzudecken. Die Ausnahme "Zend_Session ist aktuell als nur-lesbar markiert" wird geworfen während Unit Tests durchgeführt werden, wenn irgendeine schreibende Methode verwendet wird nachdem Ende der Session. Trotzdem benötigen Unit Tests die Zend_Session verwenden besondere Aufmerksamkeit weil das Schließen (Zend_Session::writeClose()) oder Zerstören einer Session (Zend_Session::destroy()) weitere Änderungen oder Rücknahmen von Schlüsseln in jeder Instanz von Zend_Session_Namespace verhindert. Dieses Verhalten ist ein direktes Resultat des darunterliegenden ext/session Mechanismus und PHP's session_destroy() und session_write_close() welche keinen "rückgängig machen" Mechanismus unterstützen um Setup/Teardown innerhalb der Unit Tests zu unterstützen.

Um das Umzuarbeiten, siehe den Unit Test testSetExpirationSeconds() in SessionTest.php und SessionTestHelper.php, beide im tests/Zend/Session Verzeichnis, welche PHP's exec() verwenden um einen eigenständigen Prozess zu starten. Der neue Prozess simuliert eine zweite Anfrage eines Browsers, viel genauer. Der separate Prozess beginnt mit einer "reinen" Session, genauso wie jede PHP Skript Ausführung für eine Web Anfrage. Auch jede Änderung in $_SESSION welche im aufrufenden Prozess gemacht wurde, ist im Kind-Prozess verfügbar, ermöglicht wenn der Elternprozess die Session beendet hat, bevor exec() verwendet wird.

// testen von setExpirationSeconds()
$script = 'SessionTestHelper.php';
$s = new Zend_Session_Namespace('space');
$s->a = 'apple';
$s->o = 'orange';
$s->setExpirationSeconds(5);

Zend_Session::regenerateId();
$id = Zend_Session::getId();
// Session freigeben damit der untere Prozess Sie verwenden kann
session_write_close();
sleep(4); // nicht lange genug damit die Dinge ablaufen
exec($script . "expireAll $id expireAll", $result);
$result = $this->sortResult($result);
$expect = ';a === apfel;o === orange;p === pfirsich';
$this->assertTrue($result === $expect,
    "Iterierung durch standard Zend_Session Namensraum fehlgeschlagen; " .
    "erwartet result === '$expect', aber '$result' bekommen");
sleep(2); // lange genug damit die Dinge ablaufen (insgesamt 6 Sekunden
          // warten, aber nach 5 Sekunden abgelaufen)
exec($script . "expireAll $id expireAll", $result);
$result = array_pop($result);
$this->assertTrue($result === '',
    "Iterierung durch standard Zend_Session Namensraum fehlgeschlagen; " .
    "erwartet result === '', aber '$result' bekommen)");
session_start(); // wiederherstellen der vorher eingefrorenen Session

// Das könnte in einen separaten Test abgeteilt werden, aber aktuell, wenn
// irgendwas vom darüberleigenden Test den darunterliegenden Test
// kontaminiert, ist das auch ein Fehler den wir wissen wollen.
$s = new Zend_Session_Namespace('expireGuava');
$s->setExpirationSeconds(5, 'g'); // Versuch nur einen Schlüssel im
                                  // Namensraum ablaufen zu lassen
$s->g = 'guava';
$s->p = 'peach';
$s->p = 'plum';

// Session auflösen damit der untere Prozess sie verwenden kann
session_write_close();
sleep(6); // Nicht lange genug damit die Dinge ablaufen können
exec($script . "expireAll $id expireGuava", $result);
$result = $this->sortResult($result);
session_start(); // Die bestimmte Session wiederherstellen
$this->assertTrue($result === ';p === plum',
    "Iterierung durch benannte Zend_Session Namensräume " .
    "fehlgeschlaten (result=$result)");