17370845950

PHP会话是通过服务器端专属内存与ID绑定请求，ID通常存于Cookie，数据不发给浏览器；session_start()必须在任何输出前调用，否则报“headers already sent”错误。

PHP会话不是“记住用户”，而是“用服务器端的一块专属内存+一个ID来绑定请求”——ID通常藏在Cookie里，数据永远不发给浏览器。

session_start() 必须在任何输出前调用，否则报 “headers already sent”

这是新手踩得最多、最隐蔽的坑：哪怕开头多了一个空格、BOM字符、或 echo ''，session_start() 就会失败，并抛出警告甚至致命错误。

• 检查文件是否以 UTF-8 无 BOM 格式保存（尤其 Windows 编辑器容易带 BOM）
• 确认 session_start() 是脚本中第一个执行的 PHP 语句，前面不能有任何 echo、print、HTML 或空白行
• 如果用框架或 Composer 自动加载，注意某些 autoloader 可能提前输出了不可见内容
• 临时调试可用 ob_start() 缓冲输出，但只是掩耳盗铃，不能替代修复根源

$_SESSION 不是全局变量，而是会话上下文的映射入口

$_SESSION 看似像普通数组，但它背后绑定的是当前会话 ID 对应的存储空间。没调 session_start()，它就是空的；调了但没传有效 ID，PHP 就新建一个——所以你可能以为“登录态还在”，其实已是全新会话。

• 不要用 unset($_SESSION) 清空全部，这会破坏会话注册机制；应改用 session_unset() + session_destroy()
• 修改完 $_SESSION 后若后续还有耗时操作（如 API 调用、文件写入），建议立刻调用 session_write_close() 释放文件锁，避免并发请求阻塞
• 敏感数据（如权限等级、支付状态）必须存在 $_SESSION 中，绝不能靠前端传来的 $_GET['role']='admin' 做判断

会话超时不是“浏览器关了就失效”，而是由三个时间参数共同控制

用户关掉浏览器，只影响 Cookie 的生命周期（session.cookie_lifetime）；真正决定会话数据何时被服务器清除的，是 session.gc_maxlifetime —— 它默认 1440 秒（24 分钟），且垃圾回收不是实时触发的。

• session.gc_maxlifetime = 3600：设为 1 小时，表示会话数据最多存活 1 小时（从最后写入时间算起）
• session.cookie_lifetime = 0：0 表示关闭浏览器即丢弃 Cookie（推荐登录态使用）
• session.cookie_httponly = 1 和 session.cookie_secure = 1：防止 JS 窃取、强制 HTTPS 传输，上线前必须开
• 别依赖 session_destroy() 立即清理——它只删服务器数据，客户端 Cookie 还在；要彻底登出，还得手动 setcookie() 清掉 Cookie

高并发或集群环境下，files 存储会迅速成为瓶颈

默认 session.save_handler = files 意味着每个会话对应一个磁盘文件，同一会话的多个请求会被文件锁串行化——AJAX 多请求、页面含多个 iframe 时极易卡死。

• 单机高并发：直接切 Redis，两行配置搞定：ini_set('session.save_handler', 'redis') + ini_set('session.save_path', 'tcp://127.0.0.1:6379')
• 跨服务器部署：必须用集中式存储（Redis / Memcached / 数据库），否则用户刷新可能跳到另一台机器，$_SESSION 就变空了
• Redis 不仅快，还天然支持过期（SET session:abc123 ... EX 3600），和 session.gc_maxlifetime 无缝对齐

会话真正的复杂点不在语法，而在时间维度（超时策略）、空间维度（存储位置）、安全维度（ID 生成与传输）三者的耦合。改一个参数，可能让登录态变“永不过期”，也可能让 10 个并发请求堵成一列——务必在真实压测环境验证配置组合。