session_create_id
(PHP 7 >= 7.1.0, PHP 8)
session_create_id — 新しいセッションIDを作成する
説明
session_create_id() 関数は、 現在のセッションのための新しいセッションIDを作成するのに使われます。 この関数は、衝突しないセッションIDを返します。
セッションがアクティブでなければ、衝突しているかどうかのチェックは省略されます。
php.ini の設定に従って、セッションIDは作成されます。
重要なのは、あなたの Webサーバーが使っているものと同じユーザIDを、 GC タスクのスクリプトで使うことが重要です。 そうしないと、特にファイルの保存ハンドラでパーミッションの問題が起こるかもしれません。
パラメータ
prefix
-
prefix
が指定されると、 新しいセッションIDの前に、prefix
が付きます。 セッションIDに全ての文字が許されているわけではありません。[a-zA-Z0-9,-]
が許可されています。 最大の長さは256文字です。
戻り値
session_create_id() 関数は、
現在のセッションのための、衝突しない新しいセッションIDを返します。
セッションがアクティブでない時に使われると、
衝突しているかどうかのチェックは省略されます。
失敗した場合は、false
を返します。
例
例1 session_regenerate_id() と一緒に、session_create_id() を使う例
<?php
// タイムスタンプによる管理をサポートした
// 自前のセッション開始関数
function my_session_start() {
session_start();
// 古過ぎるセッションIDを使うことを許してはいけない
if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
session_destroy();
session_start();
}
}
// 自前のセッションID再生成関数
function my_session_regenerate_id() {
// セッションがアクティブな間は、
// 衝突しないことを確実にするため
// session_create_id() を呼び出す
if (session_status() != PHP_SESSION_ACTIVE) {
session_start();
}
// 警告: 秘密の文字列を prefix に使ってはいけない!
$newid = session_create_id('myprefix-');
// 削除時のタイムスタンプを設定
// セッションデータは、それなりの理由があるので、すぐに削除してはいけない
$_SESSION['deleted_time'] = time();
// セッションを終了する
session_commit();
// ユーザー定義のセッションIDを確実に受け入れるようにする
// 注意: 通常の操作のためには、use_strict_mode は有効でなければならない
ini_set('session.use_strict_mode', 0);
// 新しいカスタムのセッションIDを設定
session_id($newid);
// カスタムのセッションIDでセッションを開始
session_start();
}
// use_strict_mode を確実に有効にする
// use_strict_mode は、セキュリティ上の都合で強制する
ini_set('session.use_strict_mode', 1);
my_session_start();
// セッションID は以下の場合に再生成しなければならない
// - ユーザーのログイン時
// - ユーザーがログアウト時
// - 一定時間経過時
my_session_regenerate_id();
// Write useful codes
?>
参考
- session_regenerate_id() - 現在のセッションIDを新しく生成したものと置き換える
- session_start() - 新しいセッションを開始、あるいは既存のセッションを再開する
- session.use_strict_mode
- SessionHandler::create_sid() - 新規セッション ID を返す
+add a note
User Contributed Notes 1 note
rowan dot collins at gmail dot com ¶
7 years ago
This function is very hard to replicate precisely in userland code, because if a session is already started, it will attempt to detect collisions using the new "validate_sid" session handler callback, which did not exist in earlier PHP versions.
If the handler you are using implements the "create_sid" callback, collisions may be detected there. This is called when you use session_regenerate_id(), so you could use that to create a new session, note its ID, then switch back to the old session ID. If no session is started, or the current handler doesn't implement "create_sid" and "validate_sid", neither this function nor session_regenerate_id() will guarantee collision resistance anyway.
If you have a suitable definition of random_bytes (a library is available to provide this for versions right back to PHP 5.3), you can use the following to generate a session ID in the same format PHP 7.1 would use. $bits_per_character should be 4, 5, or 6, corresponding to the values of the session.hash_bits_per_character / session.sid_bits_per_character ini setting. You will then need to detect collisions manually, e.g. by opening the session and confirming that $_SESSION is empty.
<?php
function session_create_random_id($desired_output_length, $bits_per_character)
{
$bytes_needed = ceil($desired_output_length * $bits_per_character / 8);
$random_input_bytes = random_bytes($bytes_needed);
// The below is translated from function bin_to_readable in the PHP source (ext/session/session.c)
static $hexconvtab = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,-';
$out = '';
$p = 0;
$q = strlen($random_input_bytes);
$w = 0;
$have = 0;
$mask = (1 << $bits_per_character) - 1;
$chars_remaining = $desired_output_length;
while ($chars_remaining--) {
if ($have < $bits_per_character) {
if ($p < $q) {
$byte = ord( $random_input_bytes[$p++] );
$w |= ($byte << $have);
$have += 8;
} else {
// Should never happen. Input must be large enough.
break;
}
}
// consume $bits_per_character bits
$out .= $hexconvtab[$w & $mask];
$w >>= $bits_per_character;
$have -= $bits_per_character;
}
return $out;
}
?>
↑ and ↓ to navigate •
Enter to select •
Esc to close
Press Enter without
selection to search using Google