Originariamente inviato da RoTeam
Preoccupati prima di raggiungere tale numero di utenti, umani e alieni compresi
ahahahahah stupenda questa!


@vash

se salvi le session nel db, ti serve niente di più (immagino) per gestire la session e la sua validità nel tempo etc etc...

ora, googlando ho trovato un paio di risposte interessanti:

Session_id can indeed be duplicated, but the probability is very low. If you have a website with a fair traffic, it may happens once in your web site life, and will just annoy one user for one session.

This is not worth to care about unless you expect to build a very high traffic website or a service for the bank industry.
e

It's not very unique as shipped. In the default configuration it's the result of a hash of various things including the result of gettimeofday (which isn't terribly unique), but if you're worried, you should configure it to draw some entropy from /dev/urandom, like so

ini_set("session.entropy_file", "/dev/urandom");
ini_set("session.entropy_length", "512");
search for "php_session_create_id" in the code for the actual algorithm they're using.

Edited to add: There's a DFA random-number generator seeded by the pid, mixed with the time in usecs. It's not a firm uniqueness condition especially from a security perspective. Use the entropy config above.
http://stackoverflow.com/questions/1...php-session-id

dipende da quanto devi essere certo che l'id di sessione sia univoco in un dato momento e allora applichi le scelte più opportune.

Quindi: puoi mettere nel db la chiave primaria al session_id e nel tuo codice ti assicuri di gestire il fatto che se 1 volta nella vita tale session_id è duplicato, allora ne venga generato un altro e salvarlo etc... insomma, per garantirsi la unicità dell'id, non puoi mettere le mani sul fuoco ogni volta che crei un id univoco, però diciamo che ce le puoi mettere mooooolto vicino. A meno che, come dici tu, non hai qualche milione di visitatori univoci al giorno (e ti chiami facebook/google/etc e quindi paghi qualcuno per risolverti questi problemi) o devi fare dei sistemi altamente critici, puoi andare a letto tranquillo

EDIT: conta che l'entropia di dev/unrandom fa pena in caso di macchine virtuali, allora dovresti applicare sistemi per la generazione di entropia da installare sulla macchina