session_create_id

    (PHP 7 >= 7.1.0, PHP 8)

    session_create_id创建新的会话 ID

    说明

    session_create_id(string $prefix = ""): string|false

    session_create_id() 用于为当前会话创建新的会话 ID。它返回无冲突的会话 ID。

    如果会话未激活,则会忽略冲突检查。

    会话 ID 是根据 php.ini 设置创建的。

    对于 GC 任务脚本,使用与您的 Web 服务器相同的用户 ID 非常重要。否则,您可能会遇到权限问题,特别是使用文件保存处理程序时。

    参数

    prefix

    如果指定了 prefix,则新的会话 ID 将以 prefix 为前缀。会话 ID 中不允许使用所有字符。范围在 a-z A-Z 0-9 , (逗号) 和 - (减号) 之间的字符是允许的。最大长度为 256 个字符。

    返回值

    session_create_id() 为当前会话返回新的无冲突会话 ID。如果在没有激活会话的情况下使用它,它会忽略冲突检查。如果失败,将返回 false

    示例

    示例 #1 session_create_id()session_regenerate_id() 的示例

    <?php
    // 我的会话启动函数支持时间戳管理
    function my_session_start() {
    session_start();
    // 不允许使用太旧的会话 ID
    if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
    session_destroy();
    session_start();
    }
    }

    // 我的会话重新生成 ID 函数
    function my_session_regenerate_id() {
    // 在会话处于活动状态时调用 session_create_id(),以
    // 确保无冲突。
    if (session_status() != PHP_SESSION_ACTIVE) {
    session_start();
    }
    // 警告:切勿将机密字符串用于前缀!
    $newid = session_create_id('myprefix-');
    // 设置删除时间戳。由于某些原因,会话数据不能立即删除。
    $_SESSION['deleted_time'] = time();
    // 结束会话
    session_commit();
    // 确保接受用户定义的会话 ID
    // 注意:您必须为正常操作启用 use_strict_mode。
    ini_set('session.use_strict_mode', 0);
    // 设置新的自定义会话 ID
    session_id($newid);
    // 使用自定义会话 ID 启动
    session_start();
    }

    // 确保启用了 use_strict_mode。
    // 由于安全原因,use_strict_mode 是强制性的。
    ini_set('session.use_strict_mode', 1);
    my_session_start();

    // 会话 ID 必须在以下情况下重新生成:
    // - 用户登录
    // - 用户注销
    // - 经过特定时间段
    my_session_regenerate_id();

    // 编写有用的代码
    ?>

    参见

    改进此页面

    了解如何改进此页面提交拉取请求报告错误
    添加注释

    用户贡献的注释 2 个注释

    4
    rowan dot collins at gmail dot com
    6 年前
    这个函数在用户代码中非常难以精确地复制,因为如果会话已经启动,它将尝试使用新的“validate_sid”会话处理程序回调来检测冲突,该回调在早期版本的 PHP 中不存在。

    如果您正在使用的处理程序实现了“create_sid”回调,则可能会在那里检测到冲突。当您使用 session_regenerate_id() 时,会调用它,因此您可以使用它来创建一个新的会话,记下它的 ID,然后切换回旧的会话 ID。如果没有启动会话,或者当前处理程序没有实现“create_sid”和“validate_sid”,那么这个函数和 session_regenerate_id() 都不会保证抗冲突性。

    如果您有合适的 random_bytes 定义(有一个库可以为 PHP 5.3 及更早版本提供此功能),则可以使用以下方法生成与 PHP 7.1 使用的格式相同的会话 ID。$bits_per_character 应该是 4、5 或 6,对应于 session.hash_bits_per_character/session.sid_bits_per_character ini 设置的值。然后您需要手动检测冲突,例如通过打开会话并确认 $_SESSION 为空。

    <?php
    function session_create_random_id($desired_output_length, $bits_per_character)
    {
    $bytes_needed = ceil($desired_output_length * $bits_per_character / 8);
    $random_input_bytes = random_bytes($bytes_needed);

    // 以下代码翻译自 PHP 源码 (ext/session/session.c) 中的 bin_to_readable 函数
    static $hexconvtab = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,-';

    $out = '';

    $p = 0;
    $q = strlen($random_input_bytes);
    $w = 0;
    $have = 0;

    $mask = (1 << $bits_per_character) - 1;

    $chars_remaining = $desired_output_length;
    while (    $chars_remaining--) {
    if (    $have < $bits_per_character) {
    if (    $p < $q) {
    $byte = ord( $random_input_bytes[$p++] );
    $w |= ($byte << $have);
    $have += 8;
    } else {
    // 永远不会发生。输入必须足够大。
    break;
    }
    }

    // 消耗 $bits_per_character 位
    $out .= $hexconvtab[$w & $mask];
    $w >>= $bits_per_character;
    $have -= $bits_per_character;
    }

    return     $out;
    }
    ?>
    -7
    haidz
    6 年前
    我需要为 $prefix 使用 session_create_id。
    我在 session_set_save_handler 中使用了 'create_sid' 处理程序,它为我做了所有神奇的事情。
    我可以继续使用 session_regenerate_id();

    function sessionCreateHandler()
    {
    $prefix = 'bla';
    return session_create_id($prefix);
    }
    添加注释
    To Top