PHP 8.4.1 Released!

session_create_id

(PHP 7 >= 7.1.0, PHP 8)

session_create_idCréer un nouvel ID de session

Description

session_create_id(string $prefix = ""): string|false

session_create_id() est utilisé pour créer un nouvel ID de session pour la session courante. Ceci retourne un ID de session sans colision.

Si la session n'est pas active, la vérification de colision est omise.

L'ID de session est créé en accord avec les paramètres php.ini.

Il est important d'utiliser le même ID utilisateur de votre serveur web pour le script de tâche de Ramasse-miettes (Garbage Collection). Sans quoi, vous risquez d'avoir des problèmes de permissions particulièrement avec les gestionnaires de sauvegarde des fichiers.

Liste de paramètres

prefix

Si prefix est spécifié, le nouvel ID de session est préfixé par prefix. Pas tous les caractères sont autorisés dans l'ID de session. Les caractères parmi [a-z A-Z 0-9] sont autorisés. Longueur maximale est de 256 caractères.

Valeurs de retour

session_create_id() retourne un nouvel ID de session sans collision pour la session courante. Si c'est utilisé sans une session active, la vérification de collision est omise. En cas d'échec, false est retourné.

Exemples

Exemple #1 Exemple de session_create_id() avec session_regenerate_id()

<?php
// Ma fonction de session start support la gestion d'horodatage
function my_session_start() {
session_start();
// N'autorise pas l'utilisation des anciens ID de session
if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
session_destroy();
session_start();
}
}

// Ma fonction de regénération d'ID
function my_session_regenerate_id() {
// Appel à session_create_id() quand la session est active
// pour être sûr qu'il n'y a pas de colision.
if (session_status() != PHP_SESSION_ACTIVE) {
session_start();
}
// AVERTISSEMENT: N'utiliser jamais des chaînes confidentielle comme préfix !
$newid = session_create_id('myprefix-');
// Définit l'horodatage de suppression.
// Les données de session ne doivent pas être supprimer immédiatement pour certaines raisons.
$_SESSION['deleted_time'] = time();
// Termine la session
session_commit();
// Assurez vous d'accepter les ID de session définit par l'utilisateur
// NOTE: Vous devez activer use_strict_mode pour les opérations normales.
ini_set('session.use_strict_mode', 0);
// Définir un nouvel ID de session personalisé
session_id($newid);
// Démarrage avec un ID de session personalisé
session_start();
}

// Assurez vous que use_strict_mode est activé.
// use_strict_mode est obligatoire pour des raisons de sécurités.
ini_set('session.use_strict_mode', 1);
my_session_start();

// L'ID de session doit être regénéré quand
// - Un utilisateur se connecte
// - Un utilisateur se déconnecte
// - Une certaine période s'est écoulé
my_session_regenerate_id();

// Logique d'application
?>

Voir aussi

add a note

User Contributed Notes 1 note

up
4
rowan dot collins at gmail dot com
6 years ago
This function is very hard to replicate precisely in userland code, because if a session is already started, it will attempt to detect collisions using the new "validate_sid" session handler callback, which did not exist in earlier PHP versions.

If the handler you are using implements the "create_sid" callback, collisions may be detected there. This is called when you use session_regenerate_id(), so you could use that to create a new session, note its ID, then switch back to the old session ID. If no session is started, or the current handler doesn't implement "create_sid" and "validate_sid", neither this function nor session_regenerate_id() will guarantee collision resistance anyway.

If you have a suitable definition of random_bytes (a library is available to provide this for versions right back to PHP 5.3), you can use the following to generate a session ID in the same format PHP 7.1 would use. $bits_per_character should be 4, 5, or 6, corresponding to the values of the session.hash_bits_per_character / session.sid_bits_per_character ini setting. You will then need to detect collisions manually, e.g. by opening the session and confirming that $_SESSION is empty.

<?php
function session_create_random_id($desired_output_length, $bits_per_character)
{
$bytes_needed = ceil($desired_output_length * $bits_per_character / 8);
$random_input_bytes = random_bytes($bytes_needed);

// The below is translated from function bin_to_readable in the PHP source (ext/session/session.c)
static $hexconvtab = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,-';

$out = '';

$p = 0;
$q = strlen($random_input_bytes);
$w = 0;
$have = 0;

$mask = (1 << $bits_per_character) - 1;

$chars_remaining = $desired_output_length;
while (
$chars_remaining--) {
if (
$have < $bits_per_character) {
if (
$p < $q) {
$byte = ord( $random_input_bytes[$p++] );
$w |= ($byte << $have);
$have += 8;
} else {
// Should never happen. Input must be large enough.
break;
}
}

// consume $bits_per_character bits
$out .= $hexconvtab[$w & $mask];
$w >>= $bits_per_character;
$have -= $bits_per_character;
}

return
$out;
}
?>
To Top