session_create_id

(PHP 7 >= 7.1.0, PHP 8)

session_create_idErzeugt eine neue Session-ID

Beschreibung

session_create_id(string $prefix = ""): string|false

session_create_id() wird verwendet, um für die aktuelle Session eine neue Session-ID zu erstellen. Die Funktion gibt eine kollisionsfreie Session-ID zurück.

Wenn keine Session aktiv ist, entfällt die Kollisionsprüfung.

Die Session-ID wird entsprechend der php.ini-Einstellungen erstellt.

Es ist wichtig, dass bei der Garbage Collection (GC) dieselbe Benutzer-ID verwendet wird wie beim Webserver. Andernfalls kann es insbesondere bei der Dateispeicherverwaltung zu Problemen mit den Zugriffsrechten kommen.

Parameter-Liste

prefix

Wenn prefix angegeben wird, wird der neuen Session-ID das prefix vorangestellt. In der Session-ID sind nicht alle Zeichen erlaubt. Erlaubt sind Zeichen aus dem Bereich a-z A-Z 0-9 , (Komma) und - (Minus).

Rückgabewerte

session_create_id() gibt eine neue kollisionsfreie Session-ID für die aktuelle Session zurück. Wenn diese Funktion ohne aktive Session verwendet wird, entfällt die Kollisionsprüfung. Bei einem Fehler wird false zurückgegeben.

Beispiele

Beispiel #1 session_create_id()-Beispiel mit session_regenerate_id()

<?php
// Meine Session-Start-Funktion unterstützt die Verwaltung von Zeitstempeln
function my_session_start() {
    
session_start();
    
// Zu alte Session-ID nicht zulassen
    
if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
        
session_destroy();
        
session_start();
    }
}

// Meine Funktion zur Erneuerung der Session-ID
function my_session_regenerate_id() {
    
// Bei einer aktiven Session wird session_create_id() aufgerufen,
    // um sicherzustellen, dass es keine Kollisionen gibt.
    
if (session_status() != PHP_SESSION_ACTIVE) {
        
session_start();
    }
    
// WARNUNG: Niemals vertrauliche Zeichenfolgen als Präfix verwenden!
    
$newid session_create_id('myprefix-');
    
// Zeitstempel für das Löschen setzen. Session-Daten dürfen aus
    // verschiedenen Gründen nicht sofort gelöscht werden.
    
$_SESSION['deleted_time'] = time();
    
// Beenden der Session.
    
session_commit();
    
// Sicherstellen, dass die benutzerdefinierte Session-ID akzeptiert wird
    // HINWEIS: Für den normalen Betrieb muss use_strict_mode aktiviert werden.
    
ini_set('session.use_strict_mode'0);
    
// Neue benutzerdefinierte Session-ID festlegen
    
session_id($newid);
    
// Starten mit benutzerdefinierter Session-ID
    
session_start();
}

// Sicherstellen, dass use_strict_mode aktiviert ist.
// use_strict_mode ist aus Sicherheitsgründen zwingend erforderlich.
ini_set('session.use_strict_mode'1);
my_session_start();

// Die Session-ID muss neu generiert werden, wenn
// - sich ein Benutzer anmeldet
// - sich ein Benutzer abmeldet
// - ein bestimmter Zeitraum verstrichen ist
my_session_regenerate_id();

// Nachfolgend der eigentliche Code des Programms
?>

Siehe auch

add a note add a note

User Contributed Notes 2 notes

up
2
rowan dot collins at gmail dot com
4 years ago
This function is very hard to replicate precisely in userland code, because if a session is already started, it will attempt to detect collisions using the new "validate_sid" session handler callback, which did not exist in earlier PHP versions.

If the handler you are using implements the "create_sid" callback, collisions may be detected there. This is called when you use session_regenerate_id(), so you could use that to create a new session, note its ID, then switch back to the old session ID. If no session is started, or the current handler doesn't implement "create_sid" and "validate_sid", neither this function nor session_regenerate_id() will guarantee collision resistance anyway.

If you have a suitable definition of random_bytes (a library is available to provide this for versions right back to PHP 5.3), you can use the following to generate a session ID in the same format PHP 7.1 would use. $bits_per_character should be 4, 5, or 6, corresponding to the values of the session.hash_bits_per_character / session.sid_bits_per_character ini setting. You will then need to detect collisions manually, e.g. by opening the session and confirming that $_SESSION is empty.

<?php
function session_create_random_id($desired_output_length, $bits_per_character)
{
   
$bytes_needed = ceil($desired_output_length * $bits_per_character / 8);
   
$random_input_bytes = random_bytes($bytes_needed);
   
   
// The below is translated from function bin_to_readable in the PHP source (ext/session/session.c)
   
static $hexconvtab = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,-';
   
   
$out = '';
   
   
$p = 0;
   
$q = strlen($random_input_bytes);
   
$w = 0;
   
$have = 0;
   
   
$mask = (1 << $bits_per_character) - 1;

   
$chars_remaining = $desired_output_length;
    while (
$chars_remaining--) {
        if (
$have < $bits_per_character) {
            if (
$p < $q) {
               
$byte = ord( $random_input_bytes[$p++] );
               
$w |= ($byte << $have);
               
$have += 8;
            } else {
               
// Should never happen. Input must be large enough.
               
break;
            }
        }

       
// consume $bits_per_character bits
       
$out .= $hexconvtab[$w & $mask];
       
$w >>= $bits_per_character;
       
$have -= $bits_per_character;
    }

    return
$out;
}
?>
up
-1
haidz
4 years ago
I needed to use session_create_id for the $prefix.
I used the 'create_sid' handler in session_set_save_handler and it done all the magic for me.
I could continue to use session_regenerate_id();

    function sessionCreateHandler()
    {
        $prefix = 'bla';
        return session_create_id($prefix);
    }
To Top