PHPセッションID-どのように生成されますか?
session_start()またはsession_regenerate_id()を呼び出すと、PHPは、セッションIDのランダムな文字列のように見えるものを生成します。知りたいのは、文字のランダムなシーケンス、またはuniqid()関数のようなものですか?
ランダムな文字だけだったら、理論的には衝突するのではないでしょうか?ユーザーAがログインしてからユーザーBがログインし、ユーザーBが同じセッションIDを生成した可能性が非常に高い場合、ユーザーBはユーザーAのアカウントにアクセスすることになります。
PHPが同じIDのセッションがすでに存在するかどうかを確認し、存在する場合はIDを再生成します...でも、同じものが生成されるシステムが必要だとは思わないガベージコレクションの後でさえ、IDを2回-おそらくそれらのテーブルを保存し、ハイジャックの可能性などについてそれらをチェックしたいのかもしれません。
一意でない場合、一意性を適用するにはどうすればよいですか?作成するすべてのスクリプトよりもPHP構成を使用して実装します。PHPセッションの良い点は、舞台裏の技術的な詳細について心配していません。
PHPがデフォルトでセッションIDを生成する方法を知りたい場合は、ソースコードを Github で確認してください。 randomであり、これらの成分のハッシュ(デフォルト:md5)に基づいています(コードスニペットの310行目を参照):
- クライアントのIPアドレス
- 現在時刻
- PHP線形合同ジェネレーター-疑似乱数ジェネレーター(PRNG)
- OS固有のランダムソース-OSにランダムソースが利用可能な場合(/ dev/urandomなど)
OSに使用可能なランダムソースがある場合、セッションIDを目的として生成されたIDの強度は高くなります(/ dev/urandomおよび他のOSランダムソースは(通常)暗号で保護されたPRNGです)。ただし、そうでない場合は問題ありません。
セッションID生成の目標は次のとおりです。
- 同じ値の2つのセッションIDを生成する確率を最小化します
- ランダムなキーを生成し、使用中のキーをヒットすることを計算上非常に困難にします。
これは、セッション生成に対するPHPのアプローチによって実現されます。
一意性を完全に保証することはできませんが、同じハッシュを2回ヒットする確率は非常に低いので、一般的に言って、心配する価値はありません。
IDを生成するコードは次のとおりです。 Session.c
具体的にはphp_session_create_id 関数:
PHPAPI char *php_session_create_id(PS_CREATE_SID_ARGS) /* {{{ */
{
PHP_MD5_CTX md5_context;
PHP_SHA1_CTX sha1_context;
#if defined(HAVE_HASH_EXT) && !defined(COMPILE_DL_HASH)
void *hash_context = NULL;
#endif
unsigned char *digest;
int digest_len;
int j;
char *buf, *outid;
struct timeval tv;
zval **array;
zval **token;
char *remote_addr = NULL;
gettimeofday(&tv, NULL);
if (zend_hash_find(&EG(symbol_table), "_SERVER", sizeof("_SERVER"), (void **) &array) == SUCCESS &&
Z_TYPE_PP(array) == IS_ARRAY &&
zend_hash_find(Z_ARRVAL_PP(array), "REMOTE_ADDR", sizeof("REMOTE_ADDR"), (void **) &token) == SUCCESS
) {
remote_addr = Z_STRVAL_PP(token);
}
/* maximum 15+19+19+10 bytes */
spprintf(&buf, 0, "%.15s%ld%ld%0.8F", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10);
switch (PS(hash_func)) {
case PS_HASH_FUNC_MD5:
PHP_MD5Init(&md5_context);
PHP_MD5Update(&md5_context, (unsigned char *) buf, strlen(buf));
digest_len = 16;
break;
case PS_HASH_FUNC_SHA1:
PHP_SHA1Init(&sha1_context);
PHP_SHA1Update(&sha1_context, (unsigned char *) buf, strlen(buf));
digest_len = 20;
break;
#if defined(HAVE_HASH_EXT) && !defined(COMPILE_DL_HASH)
case PS_HASH_FUNC_OTHER:
if (!PS(hash_ops)) {
php_error_docref(NULL TSRMLS_CC, E_ERROR, "Invalid session hash function");
efree(buf);
return NULL;
}
hash_context = emalloc(PS(hash_ops)->context_size);
PS(hash_ops)->hash_init(hash_context);
PS(hash_ops)->hash_update(hash_context, (unsigned char *) buf, strlen(buf));
digest_len = PS(hash_ops)->digest_size;
break;
#endif /* HAVE_HASH_EXT */
default:
php_error_docref(NULL TSRMLS_CC, E_ERROR, "Invalid session hash function");
efree(buf);
return NULL;
}
efree(buf);
if (PS(entropy_length) > 0) {
#ifdef PHP_WIN32
unsigned char rbuf[2048];
size_t toread = PS(entropy_length);
if (php_win32_get_random_bytes(rbuf, MIN(toread, sizeof(rbuf))) == SUCCESS){
switch (PS(hash_func)) {
case PS_HASH_FUNC_MD5:
PHP_MD5Update(&md5_context, rbuf, toread);
break;
case PS_HASH_FUNC_SHA1:
PHP_SHA1Update(&sha1_context, rbuf, toread);
break;
# if defined(HAVE_HASH_EXT) && !defined(COMPILE_DL_HASH)
case PS_HASH_FUNC_OTHER:
PS(hash_ops)->hash_update(hash_context, rbuf, toread);
break;
# endif /* HAVE_HASH_EXT */
}
}
#else
int fd;
fd = VCWD_OPEN(PS(entropy_file), O_RDONLY);
if (fd >= 0) {
unsigned char rbuf[2048];
int n;
int to_read = PS(entropy_length);
while (to_read > 0) {
n = read(fd, rbuf, MIN(to_read, sizeof(rbuf)));
if (n <= 0) break;
switch (PS(hash_func)) {
case PS_HASH_FUNC_MD5:
PHP_MD5Update(&md5_context, rbuf, n);
break;
case PS_HASH_FUNC_SHA1:
PHP_SHA1Update(&sha1_context, rbuf, n);
break;
#if defined(HAVE_HASH_EXT) && !defined(COMPILE_DL_HASH)
case PS_HASH_FUNC_OTHER:
PS(hash_ops)->hash_update(hash_context, rbuf, n);
break;
#endif /* HAVE_HASH_EXT */
}
to_read -= n;
}
close(fd);
}
#endif
}
digest = emalloc(digest_len + 1);
switch (PS(hash_func)) {
case PS_HASH_FUNC_MD5:
PHP_MD5Final(digest, &md5_context);
break;
case PS_HASH_FUNC_SHA1:
PHP_SHA1Final(digest, &sha1_context);
break;
#if defined(HAVE_HASH_EXT) && !defined(COMPILE_DL_HASH)
case PS_HASH_FUNC_OTHER:
PS(hash_ops)->hash_final(digest, hash_context);
efree(hash_context);
break;
#endif /* HAVE_HASH_EXT */
}
if (PS(hash_bits_per_character) < 4
|| PS(hash_bits_per_character) > 6) {
PS(hash_bits_per_character) = 4;
php_error_docref(NULL TSRMLS_CC, E_WARNING, "The ini setting hash_bits_per_character is out of range (should be 4, 5, or 6) - using 4 for now");
}
outid = emalloc((size_t)((digest_len + 2) * ((8.0f / PS(hash_bits_per_character)) + 0.5)));
j = (int) (bin_to_readable((char *)digest, digest_len, outid, (char)PS(hash_bits_per_character)) - outid);
efree(digest);
if (newlen) {
*newlen = j;
}
return outid;
}
ご覧のとおり、実際のIDは、時刻など、さまざまなものが混在するハッシュです。そのため、衝突が発生する可能性がありますが、可能性は非常に低いです。あまりにも多くの場合、多数の同時ユーザーがいない限り、心配する必要はありません。
ただし、本当に心配な場合は、別のハッシュアルゴリズムを設定することでエントロピーを増やすことができます session.hash_function
アクティブなセッションを監視する限り、この質問はそれをカバーしています phpを使用してアクティブなセッションを確認することは可能ですか?
単一のマシンでphpの単一のインスタンスを使用している場合、実際には、IDを割り当てる前にIDがすでに存在するかどうかをチェックする組み込みのセッションマネージャーがあります。ただし、複数のインスタンスまたは複数のマシンを実行している場合、他のマシンによって割り当てられたIDを知る方法はありません。