PHP中Session ID的实现原理

lfjigu

　　http://blog.csdn.net/yanghua_kobe/article/details/7213914,细说cookie和cache
　　http://blog.sina.com.cn/s/blog_461c24d50100i44g.html

　　Session 的工作机制是：为每个访问者创建一个唯一的>　　前序：
　　首先要明白PHPSESSID看似多次刷新都不会改变其实是没有删除本地相关联的cookie，删除的方法
　　session_destroy();//删除服务器端的session文件
　　setcookie(session_name(),'',time()-3600,'/');//删除本地相关联的cookie
　　session_unset();//清空内存中的cookie或者是$_SESSION = array();
　　然后再刷新相应的页面你就会看到PHPSESSID会发生变化了，根据此可以得：如果session文件已经创建则不重新生成PHPSESSID,否则需要重新生成，生成规则，就看下边喽……！
　　--------------------------------------------------------------------------------------------------------------------------------------
　　现在经过测试应该是不是检测session文件是否存在，而是检测PHPSESSID的cookie是否存在并且是否未过期！特此更正！
　　------------------------------------------------------------------------------------------------
　　可能PHP开发者心中多少都思考过这么两个问题：
　　种植在客户端浏览器中的PHPSESSIONID会出现重复吗？
　　PHPSESSIONID安全性如何，有没可能被***轻易的仿造呢？
　　带上这个问题，我稍微注意了一下PHP的源码后，疑问也就有了答案。
　　PHP在使用默认的 session.save_handler = files 方式时，PHPSESSIONID的生产算法原理如下：
　　hash_func = md5 / sha1 #可由php.ini配置
　　PHPSESSIONID = hash_func(客户端IP + 当前时间（秒）+ 当前时间（微妙）+ PHP自带的随机数生产器)
　　从以上hash_func(*)中的数据采样值的内容分析，多个用户在同一台服务器时所生产的PHPSESSIONID重复的概率极低（至少为百万份之一），设想，但台动态Web Server能到2000/rps已经很强悍了。
　　另外，***如果要猜出某一用户的PHPSESSIONID，则他也必须知道“客户端IP、当前时间（秒、微妙）、随机数”等数据方可模拟。
　　以下是截取PHP源码中PHPSESSIONID实现片段：
　　gettimeofday(&tv, NULL);
　　if (

　　zend_hash_find(&EG(symbol_table), "_SERVER",>
　　Z_TYPE_PP(array) == IS_ARRAY && zend_hash_find(Z_ARRVAL_PP(array), "REMOTE_ADDR",>　　{
　　remote_addr = Z_STRVAL_PP(token);
　　}
　　spprintf(&buf, 0, "%.15s%ld%ld%0.8F", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10);
　　switch (PS(hash_func))
　　{
　　case PS_HASH_FUNC_MD5:
　　PHP_MD5Init(&md5_context);
　　PHP_MD5Update(&md5_context, (unsigned char *) buf, strlen(buf));
　　digest_len = 16;
　　break;
　　case PS_HASH_FUNC_SHA1:
　　PHP_SHA1Init(&sha1_context);
　　PHP_SHA1Update(&sha1_context, (unsigned char *) buf, strlen(buf));
　　digest_len = 20;
　　break;
　　default:
　　php_error_docref(NULL TSRMLS_CC, E_ERROR, "Invalid session hash function");
　　efree(buf);
　　return NULL;
　　}