17370845950

PHP会话需调用session_start()才生效，且必须在任何输出前执行；否则因HTTP头已发送而报错。应确保文件为UTF-8无BOM编码、无空白字符、引入文件干净，并检查session.save_path可写性、Cookie启用状态及域名配置。

PHP 会话（session）不是“自动生效”的，必须在输出任何内容前调用 session_start()，否则会报 headers already sent 错误。

为什么 session_start() 总报错？

这是初学者踩得最多的一个坑：只要页面顶部有空格、BOM 字符、echo、print，甚至 UTF-8 的 BOM 头，都会导致 HTTP 头提前发送，session_start() 就会失败。

• 检查 PHP 文件是否用 UTF-8 无 BOM 格式保存（编辑器里要选“UTF-8 without BOM”）
• 确保 session_start() 是脚本中第一个执行的函数，前面不能有任何输出（包括空行和空格）
• 如果用了 require 或 include，也要检查被引入文件是否干净
• 错误信息里提示的“in … on line X”，那个 X 行往往不是问题根源，而是第一个输出的位置

$_SESSION 怎么安全地存取数据？

$_SESSION 是超全局数组，但它的生命周期依赖 session ID 的传递，且默认不加密、不校验来源。

• 赋值直接写：$_SESSION['user_id'] = 123;，无需序列化
• 读取前建议判断是否存在：if (isset($_SESSION['user_id'])) { ... }
• 不要把敏感数据（如密码、token 原文）直接塞进 $_SESSION；若需存 token，至少用

  

  hash_equals() 校验，或改用服务端缓存 + 随机 session key
• 修改 $_SESSION 后不会自动同步到存储，PHP 在脚本结束时才写入（除非手动调 session_write_close()）

为什么刷新页面后 $_SESSION 没了？

session 数据丢了，通常不是代码写错了，而是底层机制没对上。

• 检查 session.save_path 是否可写（运行 var_dump(session_save_path());，然后 is_writable() 测试）
• 确认浏览器是否禁用了 Cookie（session 默认靠 Cookie 传 PHPSESSID；可临时用 ini_set('session.use_cookies', 0); ini_set('session.use_trans_sid', 1); 测试 URL 传参，但仅限调试
• 注意子域名问题：如果登录在 auth.example.com，而跳转到 app.example.com，需提前设 session_set_cookie_params(['domain' => '.example.com']);
• 开发时别用隐私模式窗口反复测试——有些浏览器会重置 session cookie

session 看似简单，但它的状态依赖 Web 服务器配置、浏览器行为、PHP 编译选项（比如是否启用 session.upload_progress.enabled）等多个环节。出问题时，先看 session_id() 是否为空，再查 session_status() 返回值，比盲目 echo 更有效。