session_start()必须在任何输出前调用,否则触发“headers already sent”错误;常见原因包括UTF-8 BOM、空行、echo或HTML输出;应统一在入口文件首行调用,并配置cookie_httponly、cookie_secure和use_strict_mode等安全参数。
session_start() 必须在任何输出之前调用
PHP 的会话机制依赖于 HTTP 响应头发送 Set-Cookie,一旦有空格、BOM、echo、HTML 标签甚至 UTF-8 BOM 出现在 session_start() 之前,就会触发“headers already sent”错误。
常见踩坑点:
- 文件开头存在 UTF-8 BOM(尤其 Windows 编辑器保存时默认带 BOM)——用编辑器切换为“UTF-8 无 BOM”格式保存
-
session_start()上方有空行或这类看似无害的输出 - 引入的配置文件(如
config.php)末尾有多余换行或空格
建议统一在入口文件(如 index.php)最顶部第一行调用:
$_SESSION 变量不是自动全局,但可直接读写
PHP 不要求用
global $_SESSION,只要执行过session_start(),就能直接读写$_SESSION数组。但它不是超全局变量的“副本”,而是底层 session 数据的实时映射。立即学习“PHP免费学习笔记(深入)”;
实操注意:
- 赋值时避免引用赋值:
$_SESSION['user'] = &$obj可能导致 session 写入失败或数据丢失 - 删除某个键用
unset($_SESSION['key']),而不是$_SESSION['key'] = null(后者仍会序列化进 session 文件) - 清空全部会话数据用
$_SESSION = [],但记得配合session_destroy()才真正删除服务端 session 文件
session_destroy() 和 unset($_SESSION) 的区别必须分清
session_destroy() 删除服务器端对应的 session 存储文件(如 sess_xxx),但不会重置 $_SESSION 数组;而 unset($_SESSION) 只销毁 PHP 脚本中的数组变量,不影响已写入的 session 数据。
安全退出登录的标准流程是:
- 调用
session_start() - 清空当前脚本内的
$_SESSION:用$_SESSION = []或逐个unset() - 调用
session_destroy()删除服务端存储 - (可选)调用
setcookie(session_name(), '', time() - 3600)删除客户端 cookie
漏掉 session_destroy() 是常见疏忽——用户关闭浏览器再打开,旧 session_id 仍可能被复用,导致“登出不彻底”。
session ID 泄露和跨站风险要主动防御
默认 PHP 通过 cookie 传递 PHPSESSID,若未配置安全参数,容易被 XSS 窃取或被中间人劫持。
关键加固项(写在 session_start() 前):
-
ini_set('session.cookie_httponly', 1)—— 阻止 JS 访问 cookie -
ini_set('session.cookie_secure', 1)—— 仅 HTTPS 传输(生产环境必须) -
ini_set('session.use_strict_mode', 1)—— 拒绝未初始化的 session_id,防会话固定 - 登录成功后务必调用
session_regenerate_id(true)更新 session_id,防止会话定置攻击
别依赖框架默认配置——很多轻量项目手写登录逻辑时,这几行 ini_set 往往被跳过,而它们恰恰是会话安全的底线。
