session_create_id

(PHP 7 >= 7.1.0, PHP 8)

session_create_id — Créer un nouvel ID de session

Description

session_create_id(string $prefix = ""): string|false

session_create_id() est utilisé pour créer un nouvel ID de session pour la session courante. Ceci retourne un ID de session sans colision.

Si la session n'est pas active, la vérification de colision est omise.

L'ID de session est créé en accord avec les paramètres php.ini.

Il est important d'utiliser le même ID utilisateur de votre serveur web pour le script de tâche de Ramasse-miettes (Garbage Collection). Sans quoi, vous risquez d'avoir des problèmes de permissions particulièrement avec les gestionnaires de sauvegarde des fichiers.

Liste de paramètres

prefix: Si prefix est spécifié, le nouvel ID de session est préfixé par prefix. Pas tous les caractères sont autorisés dans l'ID de session. Les caractères parmis a-z A-Z 0-9 , (virgule) et - (moins) sont autorisés..

Valeurs de retour

session_create_id() retourne un nouvel ID de session sans collision pour la session courante. Si c'est utilisé sans une session active, la vérification de collision est omise. En cas d'échec, false est retourné.

Exemples

Exemple #1 Exemple de session_create_id() avec session_regenerate_id()


<?php
// Ma fonction de session start support la gestion d'horodatage
function my_session_start() {
    session_start();
    // N'autorise pas l'utilisation des anciens ID de session
    if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
        session_destroy();
        session_start();
    }
}

// Ma fonction de regénération d'ID
function my_session_regenerate_id() {
    // Appel à session_create_id() quand la session est active
    // pour être sûr qu'il n'y a pas de colision.
    if (session_status() != PHP_SESSION_ACTIVE) {
        session_start();
    }
    // AVERTISSEMENT: N'utiliser jamais des chaînes confidentielle comme préfix !
    $newid = session_create_id('myprefix-');
    // Définit l'horodatage de suppression.
    // Les données de session ne doivent pas être supprimer immédiatement pour certaines raisons.
    $_SESSION['deleted_time'] = time();
    // Termine la session
    session_commit();
    // Assurez vous d'accepter les ID de session définit par l'utilisateur
    // NOTE: Vous devez activer use_strict_mode pour les opérations normales.
    ini_set('session.use_strict_mode', 0);
    // Définir un nouvel ID de session personalisé
    session_id($newid);
    // Démarrage avec un ID de session personalisé
    session_start();
}

// Assurez vous que use_strict_mode est activé.
// use_strict_mode est obligatoire pour des raisons de sécurités.
ini_set('session.use_strict_mode', 1);
my_session_start();

// L'ID de session doit être regénéré quand
//  - Un utilisateur se connecte
//  - Un utilisateur se déconnecte
//  - Une certaine période s'est écoulé
my_session_regenerate_id();

// Logique d'application
?>

Voir aussi

session_regenerate_id() - Remplace l'identifiant de session courant par un nouveau
session_start() - Démarre une nouvelle session ou reprend une session existante
session.use_strict_mode
SessionHandler::create_sid() - Retourne un nouvel ID de session