PHP Conference Japan 2024

    session_create_id

    (PHP 7 >= 7.1.0, PHP 8)

    session_create_id创建新的会话 ID

    描述

    session_create_id(字符串 $prefix = ""): 字符串|false

    session_create_id() 用于为当前会话创建新的会话 ID。它返回无冲突的会话 ID。

    如果会话未激活,则会忽略冲突检查。

    会话 ID 是根据 php.ini 设置创建的。

    务必为 GC 任务脚本使用 Web 服务器的相同用户 ID。否则,您可能会遇到权限问题,尤其是在使用文件保存处理程序时。

    参数

    prefix

    如果指定了 prefix,则新的会话 ID 将以 prefix 为前缀。会话 ID 中并非所有字符都允许使用。字符范围为 [a-zA-Z0-9,-]。最大长度为 256 个字符。

    返回值

    session_create_id() 返回当前会话的新无冲突会话 ID。如果在没有激活会话的情况下使用,则会忽略冲突检查。如果失败,则返回 false

    示例

    示例 #1 session_create_id() 示例与 session_regenerate_id()

    <?php
    // 我的会话启动函数支持时间戳管理
    function my_session_start() {
    session_start();
    // 不允许使用过旧的会话 ID
    if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
    session_destroy();
    session_start();
    }
    }

    // 我的会话重新生成 ID 函数
    function my_session_regenerate_id() {
    // 在会话处于活动状态时调用 session_create_id() 以
    // 确保无冲突。
    if (session_status() != PHP_SESSION_ACTIVE) {
    session_start();
    }
    // 警告:切勿将机密字符串用作前缀!
    $newid = session_create_id('myprefix-');
    // 设置删除时间戳。出于某些原因,会话数据不得立即删除。
    $_SESSION['deleted_time'] = time();
    // 完成会话
    session_commit();
    // 确保接受用户定义的会话 ID
    // 注意:您必须启用 use_strict_mode 才能进行正常操作。
    ini_set('session.use_strict_mode', 0);
    // 设置新的自定义会话 ID
    session_id($newid);
    // 使用自定义会话 ID 启动
    session_start();
    }

    // 确保启用了 use_strict_mode。
    // 出于安全原因,use_strict_mode 是强制性的。
    ini_set('session.use_strict_mode', 1);
    my_session_start();

    // 必须在以下情况下重新生成会话 ID:
    // - 用户登录
    // - 用户注销
    // - 经过一段时间
    my_session_regenerate_id();

    // 编写有用的代码
    ?>

    参见

    发现问题?

    了解如何改进此页面提交拉取请求报告错误
    添加注释

    用户贡献的注释 1 条注释

    4
    rowan dot collins at gmail dot com
    7 年前
    此函数在用户代码中很难精确地复制,因为如果会话已启动,它将尝试使用新的“validate_sid”会话处理程序回调检测冲突,该回调在早期 PHP 版本中不存在。

    如果您使用的处理程序实现了“create_sid”回调,则可能会在那里检测到冲突。当您使用 session_regenerate_id() 时会调用此函数,因此您可以使用它来创建一个新会话,记下其 ID,然后切换回旧的会话 ID。如果没有启动会话,或者当前处理程序没有实现“create_sid”和“validate_sid”,那么此函数和 session_regenerate_id() 都不会保证抗冲突性。

    如果您有合适的 random_bytes 定义(有一个库可以为 PHP 5.3 及更高版本提供此功能),您可以使用以下方法以 PHP 7.1 将使用的相同格式生成会话 ID。$bits_per_character 应为 4、5 或 6,对应于 session.hash_bits_per_character / session.sid_bits_per_character ini 设置的值。然后,您需要手动检测冲突,例如通过打开会话并确认 $_SESSION 是否为空。

    <?php
    function session_create_random_id($desired_output_length, $bits_per_character)
    {
    $bytes_needed = ceil($desired_output_length * $bits_per_character / 8);
    $random_input_bytes = random_bytes($bytes_needed);

    // 以下代码翻译自 PHP 源代码 (ext/session/session.c) 中的 bin_to_readable 函数
    static $hexconvtab = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,-';

    $out = '';

    $p = 0;
    $q = strlen($random_input_bytes);
    $w = 0;
    $have = 0;

    $mask = (1 << $bits_per_character) - 1;

    $chars_remaining = $desired_output_length;
    while (    $chars_remaining--) {
    if (    $have < $bits_per_character) {
    if (    $p < $q) {
    $byte = ord( $random_input_bytes[$p++] );
    $w |= ($byte << $have);
    $have += 8;
    } else {
    // 永远不应该发生。输入必须足够大。
    break;
    }
    }

    // 使用 $bits_per_character 位
    $out .= $hexconvtab[$w & $mask];
    $w >>= $bits_per_character;
    $have -= $bits_per_character;
    }

    return     $out;
    }
    ?>
    添加注释
    To Top