可能PHP开发者心中多少都思考过这么两个问题：

种植在客户端浏览器中的PHPSESSIONID会出现重复吗？
PHPSESSIONID安全性如何，有没可能被黑客轻易的仿造呢？
带上这个问题，我稍微注意了一下PHP的源码后，疑问也就有了答案。

PHP在使用默认的 session.save_handler = files 方式时，PHPSESSIONID的生产算法原理如下：

hash_func = md5 / sha1 #可由php.ini配置
PHPSESSIONID = hash_func(客户端IP + 当前时间（秒）+ 当前时间（微妙）+ PHP自带的随机数生产器)

从以上hash_func(*)中的数据采样值的内容分析，多个用户在同一台服务器时所生产的PHPSESSIONID重复的概率极低（至少为百万份之一），设想，但台动态Web Server能到2000/rps已经很强悍了。

另外，黑客如果要猜出某一用户的PHPSESSIONID，则他也必须知道“客户端IP、当前时间（秒、微妙）、随机数”等数据方可模拟。