這個遞歸函數可以瘋狂嗎？

Question

function generate_session_id(&$db) 
{ 
    $user_sess_id = md5(uniqid(mt_rand(), true); 

    try 
    { 
     $stmt = $db->prepare("SELECT COUNT(*) AS session_exists FROM sessions WHERE session_id = :session_id"); 
     $stmt->bindParam(':session_id', $user_sess_id); 
     $stmt->execute(); 
     $result = $stmt->fetch(PDO::FETCH_ASSOC); 

     if($result['session_exists'] == 1) 
     { 
      // Recursion ! 
      generate_session_id($db); 
     }  
     else 
     { 
      return $user_sess_id; 
     } 
    } 
    catch(PDOException $e) 
    { 
     die("generate_session_id(): " . $e->getMessage()); 
    } 
} 

此功能是否安全使用或有任何缺陷？其唯一目的是爲每個會話生成唯一的ID。

Answer 1

你沒有返回遞歸函數的值，所以如果函數是遞歸調用的，你將不會返回任何值。你需要做的：

return generate_session_id($db); 

雖然你不需要遞歸。只是做一個正常的循環：

do { 
    // generate id 
    $id_exists = // look if id exists 
} while ($id_exists); 

另外，你真的需要自己生成ID？你是否正在使用某些需要此操作的會話處理？

Answer 2

看起來很安全。但是，它提供了一個呃唯一的ID是不是uniqid的要點？你爲什麼要在它上面做一個MD5散列？這引入了一系列的問題......