`PHP.ini`中的`session.entropy_length`有什么作用?

SAz*_*SAz 7 php session php-5.6 php-5.5

在会话部分PHP.ini有一个叫做的指令session.entropy_length.

我知道它用于使session id随机生成更多.

它是如何做到的?

最大长度是多少?

如果它超过了hash使用中的位数怎么办?

Toc*_*car -2

session.entropy_length 指定将从上面指定的文件中读取的字节数。默认为 0(禁用)。

PHP手册

“上面提到的文件”是session.entropy_file

会话的“熵”与会话 id 值的随机性有关

  • 我们知道文档中的内容,但文档对此没有太大帮助。我认为OP试图对如何使用它有更多的感觉:什么值有意义(不是太大或太小)?该值与哈希类型等其他设置有何关系?什么是合适的值?如果允许,为什么不使用更高的值?假设 PHP 团队通常为开箱即用的合理安全级别设置默认值,为什么默认值为零?这不是对安全的妥协吗? (2认同)