问php会话id的唯一性如何？

EN

Session_id确实可以复制，但概率非常低。如果你有一个流量正常的网站，它可能会在你的网站生命周期中发生一次，只会在一次会话中惹恼一个用户。

这是不值得关心的，除非你希望建立一个非常高流量的网站或银行行业的服务。

如果你想定制ID的生成方式(默认情况下，它是通过MD5生成的128位数字)，你可以安装一个替代的散列生成函数。请参阅http://www.php.net/manual/en/session.configuration.php#ini.session.hash-function

有关PHP会话的更多信息，请尝试这篇优秀的文章http://shiflett.org/articles/the-truth-about-sessions，它还链接到其他关于会话固定和劫持的文章。

我还没有找到关于这一点的确认，但我相信php在创建具有该id的会话id之前会检查它是否已经存在。

人们担心的会话劫持问题是，当有人发现活动用户的会话id时。可以通过多种方式防止这种情况发生，有关详细信息，请参阅php.net和this paper on session fixation上的this page