我目前正在用PHP(7.2(做一个项目。我在每个请求上调用session_regenerate_id()函数以防止会话劫持攻击,(这是检测被劫持会话的整个过程中的一小部分(。
问题如下:我希望在我的服务器上管理许多会话,我是否应该检查新的session_id()值(在我调用session_regenerate_id()之后(是否被另一个(现有(会话使用?换句话说:session_regenerate_id()没有碰撞吗?
我知道函数session_create_id在活动会话中使用时(会话启动后(是无冲突的,但手册没有提到session_regenerate_id函数。
有什么想法/建议吗? 谢谢。
是的。session_regenerate_id调用session_create_id因此它也不会发生碰撞:
sid = php_session_create_id((void**)&data);