session_create_id

(PHP 7 >= 7.1.0, PHP 8)

session_create_id — Créer un nouvel ID de session

Description

session_create_id(string $prefix = ""): string|false

session_create_id() est utilisé pour créer un nouvel ID de session pour la session courante. Ceci retourne un ID de session sans collision.

Si la session n'est pas active, la vérification de collision est omise.

L'ID de session est créé en accord avec les paramètres php.ini.

Il est important d'utiliser le même ID utilisateur du serveur web pour le script de tâche de Ramasse-miettes (Garbage Collection). Sans quoi, l'on risque d'avoir des problèmes de permissions particulièrement avec les gestionnaires de sauvegarde des fichiers.

Liste de paramètres

prefix: Si prefix est spécifié, le nouvel ID de session est préfixé par prefix. Tous les caractères ne sont pas autorisés dans l'ID de session. Les caractères parmi [a-z A-Z 0-9] sont autorisés. La longueur maximale est de 256 caractères.

Valeurs de retour

session_create_id() retourne un nouvel ID de session sans collision pour la session courante. Si c'est utilisé sans une session active, la vérification de collision est omise. En cas d'échec, false est retourné.

Exemples

Exemple #1 Exemple de session_create_id() avec session_regenerate_id()

<?php
// Ma fonction de session start support la gestion d'horodatage
function my_session_start() {
    session_start();
    // N'autorise pas l'utilisation des anciens ID de session
    if (!empty($_SESSION['deleted_time']) && $_SESSION['deleted_time'] < time() - 180) {
        session_destroy();
        session_start();
    }
}

// Ma fonction de regénération d'ID
function my_session_regenerate_id() {
    // Appel à session_create_id() quand la session est active
    // pour être sûr qu'il n'y a pas de collision.
    if (session_status() != PHP_SESSION_ACTIVE) {
        session_start();
    }
    // AVERTISSEMENT: N'utiliser jamais des chaînes confidentielles comme préfixe !
    $newid = session_create_id('myprefix-');
    // Définit l'horodatage de suppression.
    // Les données de session ne doivent pas être supprimées immédiatement pour certaines raisons.
    $_SESSION['deleted_time'] = time();
    // Termine la session
    session_commit();

    // Il faut s'assurer d'accepter les ID de session définis par l'utilisateur
    // NOTE: Vous devez activer use_strict_mode pour les opérations normales.
    ini_set('session.use_strict_mode', 0);
    // Définir un nouvel ID de session personnalisé
    session_id($newid);
    // Démarrage avec un ID de session personnalisé
    session_start();
}


// Il faut s'assurer que use_strict_mode est activé.
// use_strict_mode est obligatoire pour des raisons de sécurité.
ini_set('session.use_strict_mode', 1);
my_session_start();

// L'ID de session doit être régénéré quand
//  - Un utilisateur se connecte
//  - Un utilisateur se déconnecte
//  - Une certaine période s'est écoulée
my_session_regenerate_id();

// Logique d'application
?>

Voir aussi

session_regenerate_id() - Remplace l'identifiant de session courant par un nouveau
session_start() - Démarre une nouvelle session ou reprend une session existante
session.use_strict_mode
SessionHandler::create_sid() - Retourne un nouvel ID de session