有效注释需明确“谁在什么时候依赖该状态”:session_start()前注明用途与生命周期;$_session键名须带业务语义及使用契约;session_destroy()须与unset($_session)、删cookie并列注释,缺一不可。
PHP 会话控制相关代码怎么加注释才有效
注释不是写给机器看的,是写给人(尤其是几个月后的你自己)看的。PHP 会话控制(session_start()、$_SESSION、session_destroy() 等)涉及状态管理,一旦注释不到位,很容易误判“为什么登录态丢了”或“为什么重复登录没清旧 session”。关键不是多写,而是注释清楚「谁在什么时候依赖这个状态」。
session\_start() 前后必须说明 session 的生命周期意图
session_start() 看似简单,但它的行为受 session.cookie_lifetime、session.gc_maxlifetime、是否调用 session_regenerate_id() 影响极大。光写 // 启动会话 没用。
应该明确标注当前页面对 session 的预期用途和存活边界:
// session_start(): 仅用于读取用户语言偏好(不修改 $_SESSION),不延长 cookie 过期时间
// 注意:此页不调用 session_write_close(),但也不写入任何值,避免触发 session 文件锁
session_start();
// session_start(): 用于登录验证,必须 regen ID 并设置新 cookie
// 原因:防范 Session Fixation;且此页会写入 $_SESSION['user_id'] 和 $_SESSION['login_time']
if (login_attempt_valid()) {
session_regenerate_id(true);
$_SESSION['user_id'] = $uid;
$_SESSION['login_time'] = time();
}
$_SESSION 键名必须带业务语义注释,不能只写类型
$_SESSION['token'] 或 $_SESSION['data'] 这类泛化键名,三个月后根本无法判断它是否该被清理、是否被其他模块误用。PHP 不检查键名,但人需要靠注释建立契约。
立即学习“PHP免费学习笔记(深入)”;
-
$_SESSION['csrf_token']→ 应注释:// 单次有效,POST 提交后立即 unset;与 form hidden input 值严格比对 -
$_SESSION['cart_items']→ 应注释:// 关联数组,结构为 ['product_id' => ['qty' => 2, 'price' => 99.99]];不持久化到 DB,仅会话期内有效 -
$_SESSION['redirect_after_login']→ 应注释:// 字符串 URL,仅在 login.php 中 set,在 dashboard.php 中 consume 后 unset;防止跳转开放重定向
session\_destroy() 和 unset($_SESSION) 的区别必须在注释里点破
很多 bug 来自混淆这两者:前者删服务器端 session 文件,后者只清当前请求的 $_SESSION 数组引用。如果漏掉 session_unset() 或没删 cookie,用户可能“登出后还能点后退继续操作”。
// 完整登出流程(缺一不可)
// 1. 清空 $_SESSION 数组内容(避免后续代码意外读到残留值)
$_SESSION = [];
// 2. 删除服务器端 session 数据文件
session_destroy();
// 3. 清除客户端 cookie(否则下次访问 session_start() 会复用旧 id)
if (ini_get("session.use_cookies")) {
$params = session_get_cookie_params();
setcookie(
session_name(),
'',
1,
$params["path"],
$params["domain"],
$params["secure"],
$params["httponly"]
);
}
这段逻辑如果没注释,接手的人很可能删掉第 3 步,以为 session_destroy() 就够了——其实它根本不碰 cookie。
