Session_id确实可以复制，但概率非常低。如果您的网站流量公平，可能会在您的网站生活中发生一次，并且只会让一个用户厌倦一个会话。

除非您希望为银行业建立一个非常高流量的网站或服务，否则不值得关注。

它出货时并不是很独特。在默认配置中，它是各种事物的散列的结果，包括gettimeofday的结果（这不是非常独特），但是如果你担心，你应该将它配置为从/ dev / urandom中绘制一些熵，就像这样

ini_set("session.entropy_file", "/dev/urandom");

ini_set("session.entropy_length", "512");

在他们正在使用的实际算法的代码中搜索“php_session_create_id” 。

编辑添加：有一个由pid播种的DFA随机数生成器，与usecs中的时间混合。从安全角度来看，这不是一个坚定的唯一性条件。使用上面的熵配置。

更新：

从PHP 5.4.0开始，session.entropy_file默认为/ dev / urandom或/ dev / arandom（如果可用）。在PHP 5.3.0中，该指令默认为空。