PHP session 默认存于文件系统临时目录,路径由 session.save_path 配置决定,可通过 session_save_path() 查看;可切换为数据库或 Redis 存储,但需正确配置并注册 handler 或启用扩展,旧数据不会自动迁移。
session 默认存在哪?文件路径怎么看
PHP 的 session_start() 默认把会话数据写到临时目录的文件里,不是内存,也不是数据库。这个路径由 session.save_path 配置决定,通常在 php.ini 里设置,比如 /var/lib/php/sessions 或 C:\Windows\Temp。你可以用 session_save_path() 函数运行时查看当前值:
echo session_save_path(); // 输出实际保存路径
注意:Web 服务器(如 Apache/Nginx)必须对这个目录有读写权限,否则会报 Warning: session_start(): Failed to read session data。
切到数据库存储:改配置 + 写 handler
PHP 不内置数据库 session 存储,得自己实现 SessionHandlerInterface,然后用 session_set_save_handler() 注册。关键点不是“换配置”,而是“接管整个读写生命周期”。常见错误是只改了 session.save_handler = user 却没注册 handler,结果
session 完全失效。
你需要做三件事:
- 创建一个类实现
SessionHandlerInterface,至少包含read()、write()、destroy()、gc() - 在
session_start()前调用session_set_save_handler($handler, true) - 确保数据库表结构支持:至少含
id(VARCHAR(128))、data(TEXT)、expires(INT)字段
示例表(MySQL):
CREATE TABLE sessions ( id VARCHAR(128) NOT NULL PRIMARY KEY, data TEXT NOT NULL, expires INT NOT NULL );
用 Redis 存 session 更简单?是的,但别漏装扩展
比起手写数据库 handler,用 Redis 是更轻量、更可靠的替代方案——前提是已安装并启用 redis 或 phpredis 扩展。配置只需两步:
- 修改
php.ini:session.save_handler = redis,session.save_path = "tcp://127.0.0.1:6379?database=2" - 确保
redis.so已加载(Linux)或php_redis.dll已启用(Windows)
验证是否生效:var_dump(ini_get('session.save_handler')); 应输出 "redis"。如果还是 "files",说明配置没重载或扩展未启用。重启 PHP-FPM 或 Apache 后再试。
切换后 session_id 不变,但旧数据不会自动迁移
从文件切到数据库或 Redis,PHP 不会帮你把老 session 文件里的数据搬过去。用户原有会话会丢失(表现为登录态突然掉线),因为新 handler 的 read() 找不到对应 id 的记录。
解决办法只有两个:
- 接受短期影响,让 session 自然过期(依赖
session.gc_maxlifetime) - 手动导出文件 session 数据(解析
sess_*文件内容,提取key|s:value结构),再批量写入新存储——但不推荐,格式易错且无加密保障
真正要注意的是:无论存哪,session.cookie_httponly、session.cookie_secure 这些安全配置不能因存储方式改变而被忽略。存储位置变了,不代表 session 就安全了。
