【发布时间】:2014-08-16 15:01:00
【问题描述】:
像 wordpress 这样的东西将会话 ID 存储在 cookie 中。我想知道/环顾四周,了解这个 id 的可预测性以及它们的独特性。
根据我所读到的,它们非常非常不可预测,而且几乎可以肯定是独一无二的。
对吗?
【问题讨论】:
-
真正的问题是,有多少用户会在会话到期时间内访问您的网站?
像 wordpress 这样的东西将会话 ID 存储在 cookie 中。我想知道/环顾四周,了解这个 id 的可预测性以及它们的独特性。
根据我所读到的,它们非常非常不可预测,而且几乎可以肯定是独一无二的。
对吗?
【问题讨论】:
据我所知,您可能会在 PHP 中获得重复的会话 ID,但是获得重复会话 ID 的机会非常少。
另请注意,PHP 中的会话 id 是基于哈希 (MD5),其中包含客户端的 IP 地址、当前时间、PHP 线性同余生成器 - 伪随机数生成器 (PRNG) 和特定于操作系统的随机源。
从 PHP 5.4.0 开始 session.entropy_file 默认为 /dev/urandom 或 /dev/arandom 如果可用。在 PHP 5.3.0 中保留了该指令 默认为空。
【讨论】: