(PHP 7 >= 7.1.0, PHP 8)
session_create_id — 新しいセッションIDを作成する
$prefix = ""): string|falsesession_create_id() 関数は、 現在のセッションのための新しいセッションIDを作成するのに使われます。 この関数は、衝突しないセッションIDを返します。
セッションがアクティブでなければ、衝突しているかどうかのチェックは省略されます。
php.ini の設定に従って、セッションIDは作成されます。
重要なのは、あなたの Webサーバが使っているものと同じユーザIDを、 GC タスクのスクリプトで使うことが重要です。 そうしないと、特にファイルの保存ハンドラでパーミッションの問題が起こるかもしれません。
prefix
prefix が指定されると、
新しいセッションIDの前に、
prefix が付きます。
セッションIDに全ての文字が許されているわけではありません。
a-z A-Z 0-9 , (コンマ) そして -
(マイナス) が許可されています。
session_create_id() 関数は、
現在のセッションのための、衝突しない新しいセッションIDを返します。
セッションがアクティブでない時に使われると、
衝突しているかどうかのチェックは省略されます。
失敗した場合は、false を返します。
例1 session_regenerate_id() と一緒に、session_create_id() を使う例
<?php
// タイムスタンプによる管理をサポートした
// 自前のセッション開始関数
function my_session_start() {
session_start();
// 古過ぎるセッションIDを使うことを許してはいけない
if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
session_destroy();
session_start();
}
}
// 自前のセッションID再生成関数
function my_session_regenerate_id() {
// セッションがアクティブな間は、
// 衝突しないことを確実にするため
// session_create_id() を呼び出す
if (session_status() != PHP_SESSION_ACTIVE) {
session_start();
}
// 警告: 秘密の文字列を prefix に使ってはいけない!
$newid = session_create_id('myprefix-');
// 削除時のタイムスタンプを設定
// セッションデータは、それなりの理由があるので、すぐに削除してはいけない
$_SESSION['deleted_time'] = time();
// セッションを終了する
session_commit();
// ユーザー定義のセッションIDを確実に受け入れるようにする
// 注意: 通常の操作のためには、use_strict_mode は有効でなければならない
ini_set('session.use_strict_mode', 0);
// 新しいカスタムのセッションIDを設定
session_id($newid);
// カスタムのセッションIDでセッションを開始
session_start();
}
// use_strict_mode を確実に有効にする
// use_strict_mode は、セキュリティ上の都合で強制する
ini_set('session.use_strict_mode', 1);
my_session_start();
// セッションID は以下の場合に再生成しなければならない
// - ユーザーのログイン時
// - ユーザーがログアウト時
// - 一定時間経過時
my_session_regenerate_id();
// Write useful codes
?>