session_start()必须在任何输出前调用,否则触发“headers already sent”致命错误;$_session非自动持久化,修改后需脚本结束或调用session_write_close()才写入;销毁需清内存、存储和cookie三处;务必启用cookie_httponly和cookie_secure保障安全。
session_start() 必须在任何输出之前调用
PHP 的 session_start() 会发送 Set-Cookie 头,一旦有空格、BOM、echo、HTML 标签甚至 UTF-8 BOM 字节提前输出,就会触发 “Headers already sent” 错误。这不是警告,是致命错误,后续 session 数据根本不会写入或读取。
- 检查所有被 include/require 的文件(比如配置文件、工具函数)是否开头有空行或 BOM
- PHP 文件必须用 UTF-8 无 BOM 编码保存(编辑器里要手动选,VS Code 默认可能带 BOM)
- 不要在
session_start()前写echo ""、print_r([])或任何 HTML - 如果用了输出缓冲(
ob_start()),它能掩盖问题但不解决本质——建议只在调试时临时用,上线前删掉
$_SESSION 是超全局数组,但不是“自动持久化”的变量
写入 $_SESSION['user_id'] = 123 不代表立刻存到磁盘或数据库;PHP 默认用文件存储 session,实际写入发生在脚本结束时(或调用 session_write_close() 时)。这意味着:
- 如果脚本中途
exit或发生未捕获异常,$_SESSION修改可能丢失 - 并发请求中,同一 session ID 的多个请求会阻塞——第二个
session_start()会等第一个脚本释放 session 文件锁 - 不要依赖
$_SESSION在 CLI 脚本里工作:CLI 模式默认不启用 session,且无 Cookie 上下文 - 修改后想立即落盘?调用
session_write_close(),之后不能再读写$_SESSION
销毁 session 要清空三处:内存、存储、Cookie
只执行 $_SESSION = [] 或 unset($_SESSION),只是清空当前脚本里的数组副本,session 文件还在,下次请求仍能读到旧数据。
- 清内存:
$_SESSION = [] - 删存储:
session_destroy()(必须在session_start()之后调用) - 删客户端 Cookie:
setcookie(session_name(), '', time() - 3600, '/') - 更稳妥的做法是组合使用:
session_start(); $_SESSION = []; session_destroy(); setcookie(...) - 注意
session_name()返回的是当前 session 名(默认PHPSESSID),别硬编码
session.cookie_httponly 和 session.cookie_secure 容易被忽略
默认 PHP 的 session cookie 是可被 JS 读取的(document.cookie 能拿到 PHPSESSID),且不强制走 HTTPS。这直接放大 XSS 和中间人攻击风险。
立即学习“PHP免费学习笔记(深入)”;
- 生产环境务必在
php.ini或启动时设:ini_set('session.cookie_httponly', '1')和ini_set('session.cookie_secure', '1') -
session.cookie_httponly阻止 JS 访问,防 XSS 窃取 session ID -
session.cookie_secure让浏览器只在 HTTPS 下发送该 Cookie,HTTP 请求里不会带上 - 如果用了反向代理(如 Nginx),PHP 可能收不到 HTTPS 信号,需额外配
$_SERVER['HTTPS'] = 'on'或用trust proxy逻辑
session 的真正复杂点不在语法,而在它隐式依赖的 HTTP 生命周期、服务端存储机制和客户端 Cookie 行为。一个没关的 session_start()、一次忘记的 session_write_close()、或者漏掉的 httponly 标志,都可能让整个登录态变得不可靠或不安全。
