PHP 8.3.4 Released!

session_create_id

(PHP 7 >= 7.1.0, PHP 8)

session_create_idСоздаёт новый идентификатор сессии

Описание

session_create_id(string $prefix = ""): string|false

session_create_id() используется для создания нового идентификатора текущей сессии. Возвращает идентификатор сессии, который не подвержен коллизиям.

При неактивной сессии проверка на коллизии не осуществляется.

Идентификатор сессии создаётся в соответствии с настройками php.ini.

Важно использовать тот же идентификатор пользователя на вашем веб-сервере, что и для скрипта задачи сборщика мусора. В противном случае, у вас могут возникнуть проблемы доступа, особенно с дескриптором сохранения файлов.

Список параметров

prefix

Если указан параметр prefix, то новый идентификатор сессии будет с префиксом prefix. Не все символы возможно использовать в идентификаторе сессии. Допускается использовать только символы из диапазона: a-z A-Z 0-9 , (запятая) и - (минус).

Возвращаемые значения

session_create_id() возвращает новый, не подверженный коллизиям, идентификатор текущей сессии. Если используется при неактивной сессии, проверка на коллизии пропускается. В случае неудачи возвращается false.

Примеры

Пример #1 Пример использования session_create_id() с функцией session_regenerate_id()

<?php
// Функция My session start с управлением на основе временных меток
function my_session_start() {
session_start();
// Не разрешать использование слишком старых идентификаторов сессии
if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
session_destroy();
session_start();
}
}

// Функция My session regenerate id
function my_session_regenerate_id() {
// Вызов session_create_id() пока сессия активна, чтобы
// удостовериться в отсутствии коллизий.
if (session_status() != PHP_SESSION_ACTIVE) {
session_start();
}
// ВНИМАНИЕ: Никогда не используйте конфиденциальные строки в качестве префикса!
$newid = session_create_id('myprefix-');
// Установка временной метки удаления. Данные активной сессии не должны удаляться сразу же.
$_SESSION['deleted_time'] = time();
// Завершение сессии
session_commit();
// Убеждаемся в возможности установки пользовательского идентификатора сессии
// ЗАМЕЧАНИЕ: Вы должны включать опцию use_strict_mode для обычных операций.
ini_set('session.use_strict_mode', 0);
// Установка нового пользовательского идентификатора сессии
session_id($newid);
// Старт сессии с пользовательским идентификатором
session_start();
}

// Убеждаемся, что опция use_strict_mode включена.
// Опция use_strict_mode обязательна по соображениям безопасности.
ini_set('session.use_strict_mode', 1);
my_session_start();

// Идентификатор сессии должен генерироваться заново при:
// - Входе пользователя в систему
// - Выходе пользователя из системы
// - По прошествии определённого периода времени
my_session_regenerate_id();

// Далее основной код программы
?>

Смотрите также

add a note

User Contributed Notes 2 notes

up
4
rowan dot collins at gmail dot com
6 years ago
This function is very hard to replicate precisely in userland code, because if a session is already started, it will attempt to detect collisions using the new "validate_sid" session handler callback, which did not exist in earlier PHP versions.

If the handler you are using implements the "create_sid" callback, collisions may be detected there. This is called when you use session_regenerate_id(), so you could use that to create a new session, note its ID, then switch back to the old session ID. If no session is started, or the current handler doesn't implement "create_sid" and "validate_sid", neither this function nor session_regenerate_id() will guarantee collision resistance anyway.

If you have a suitable definition of random_bytes (a library is available to provide this for versions right back to PHP 5.3), you can use the following to generate a session ID in the same format PHP 7.1 would use. $bits_per_character should be 4, 5, or 6, corresponding to the values of the session.hash_bits_per_character / session.sid_bits_per_character ini setting. You will then need to detect collisions manually, e.g. by opening the session and confirming that $_SESSION is empty.

<?php
function session_create_random_id($desired_output_length, $bits_per_character)
{
$bytes_needed = ceil($desired_output_length * $bits_per_character / 8);
$random_input_bytes = random_bytes($bytes_needed);

// The below is translated from function bin_to_readable in the PHP source (ext/session/session.c)
static $hexconvtab = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,-';

$out = '';

$p = 0;
$q = strlen($random_input_bytes);
$w = 0;
$have = 0;

$mask = (1 << $bits_per_character) - 1;

$chars_remaining = $desired_output_length;
while (
$chars_remaining--) {
if (
$have < $bits_per_character) {
if (
$p < $q) {
$byte = ord( $random_input_bytes[$p++] );
$w |= ($byte << $have);
$have += 8;
} else {
// Should never happen. Input must be large enough.
break;
}
}

// consume $bits_per_character bits
$out .= $hexconvtab[$w & $mask];
$w >>= $bits_per_character;
$have -= $bits_per_character;
}

return
$out;
}
?>
up
-4
haidz
5 years ago
I needed to use session_create_id for the $prefix.
I used the 'create_sid' handler in session_set_save_handler and it done all the magic for me.
I could continue to use session_regenerate_id();

function sessionCreateHandler()
{
$prefix = 'bla';
return session_create_id($prefix);
}
To Top