session_create_id

新しいセッションIDを作成する

説明

stringfalse session_create_id(string $prefix = "")

session_create_id 関数は、 現在のセッションのための新しいセッションIDを作成するのに使われます。 この関数は、衝突しないセッションIDを返します。

セッションがアクティブでなければ、衝突しているかどうかのチェックは省略されます。

php.ini の設定に従って、セッションIDは作成されます。

重要なのは、あなたの Webサーバーが使っているものと同じユーザIDを、 GC タスクのスクリプトで使うことが重要です。 そうしないと、特にファイルの保存ハンドラでパーミッションの問題が起こるかもしれません。

パラメータ

prefix

prefix が指定されると、 新しいセッションIDの前に、 prefix が付きます。 セッションIDに全ての文字が許されているわけではありません。 [a-zA-Z0-9,-] が許可されています。 最大の長さは256文字です。

戻り値

session_create_id 関数は、 現在のセッションのための、衝突しない新しいセッションIDを返します。 セッションがアクティブでない時に使われると、 衝突しているかどうかのチェックは省略されます。 失敗した場合は、false を返します。

例1 session_regenerate_id と一緒に、session_create_id を使う例

<?php
// タイムスタンプによる管理をサポートした
// 自前のセッション開始関数
function my_session_start() {
    session_start();
    // 古過ぎるセッションIDを使うことを許してはいけない
    if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
        session_destroy();
        session_start();
    }
}

// 自前のセッションID再生成関数
function my_session_regenerate_id() {
    // セッションがアクティブな間は、
    // 衝突しないことを確実にするため
    // session_create_id() を呼び出す
    if (session_status() != PHP_SESSION_ACTIVE) {
        session_start();
    }
    // 警告: 秘密の文字列を prefix に使ってはいけない!
    $newid = session_create_id('myprefix-');

    // 削除時のタイムスタンプを設定
    // セッションデータは、それなりの理由があるので、すぐに削除してはいけない
    $_SESSION['deleted_time'] = time();
    // セッションを終了する
    session_commit();
    // ユーザー定義のセッションIDを確実に受け入れるようにする
    // 注意: 通常の操作のためには、use_strict_mode は有効でなければならない
    ini_set('session.use_strict_mode', 0);
    // 新しいカスタムのセッションIDを設定
    session_id($newid);
    // カスタムのセッションIDでセッションを開始
    session_start();
}

// use_strict_mode を確実に有効にする
// use_strict_mode は、セキュリティ上の都合で強制する
ini_set('session.use_strict_mode', 1);
my_session_start();

// セッションID は以下の場合に再生成しなければならない
//  - ユーザーのログイン時
//  - ユーザーがログアウト時
//  - 一定時間経過時
my_session_regenerate_id();

// Write useful codes
?>

参考