PHP の sessionId の生成ロジックのソースを覗いてみた。
PHPの sessionId ってどうなっているの?
View more PowerPoint from Yoshiyuki MIYAGI
社内LTで発表した資料。
PHPのsessionIdのデフォルトの動作に関して、 - アクセス元IP - 現在時刻 - ランダムな文字列 を MD5 や SHA1 でハッシュ化している。というのが一般的に言われているのだけれども、実際のところどうなっているのかわからないのでソースコードを読んでみた話。
徳丸生成にコメントもらった。
「なんか不安?」というのは正しい感覚。entropy_fileに/dev/urandom指定を推奨。独自乱数は推奨しません PHPの sessionId ってどうなっているの? slideshare.net/yosshi1202/php…
— 徳丸 浩 (@ockeghem) May 24, 2012
PHPのセッションをデフォルトのまま使いがちなので、ちゃんと設定して使いましょうというお話でした。
パーフェクトPHP (PERFECT SERIES 3)
posted with amazlet at 12.05.24