当本地开发使用与生产环境同根域名(如 local.mycompanywebsite.com 与 mycompanywebsite.com)时,浏览器会将 phpsessid cookie 共享给所有子域或父域,造成会话覆盖或丢失,导致 session_start() 无法正确恢复已有会话。
这个问题的本质是 Cookie 域名作用域冲突,而非 PHP 或 Apache 配置错误。从你的 phpinfo 输出可见,session.cookie_domain 为 no value(即默认为空),此时 PHP 会依据当前请求的 Host 头自动设置 Cookie 的 Domain 属性——但其默认行为遵循 RFC 6265:若未显式指定 cookie_domain,PHP 生成的 Cookie 将不带 Domain 属性,此时浏览器仅将其发送给完全匹配的主机名(如 local.mydev.com),而不会发送给 mydev.com 或其他子域。
然而,你的真实场景是 local.myCompanyWebsite.com 与生产站点 myCompanyWebsite.com 共存。关键点在于:即使 PHP 未设置 cookie_domain,现代浏览器(尤其是 Chrome)在检测到主域名已存在有效 Cookie(如生产环境的 PHPSESSID)时,可能对「相似域名」放宽匹配策略,或因历史 Cookie 残留导致新请求意外复用旧会话 ID。你观察到 DevTools 中 Cookie 存在且 ID 一致,但 $_SESSION 为空,说明 session_start() 成功读取了 Cookie 中的 PHPSESSID,却未能在服务端找到对应会话文件——这通常意味着:
- 会话存储路径(session.save_path)正确,但该 ID 对应的 session 文件已被 GC 清理、权限不足、或被另一个域的会话覆盖写入;
- 更常见的是:两个不同域(local.myCompanyWebsite.com 和 myCompanyWebsite.com)共享同一 session.name(PHPSESSID),且未隔离 cookie_domain,导致浏览器将两个站点的会话 Cookie 混淆发送,PHP 尝试用 A 域的 ID 去加载 B 域创建的 session 文件(文件名相同但内容不同),最终返回空数组。
✅ 正确解决方案如下:
1. 强制隔离 Cookie 域名(推荐)
在 stest1.php 和 stest2.php 开头、session_start() 之前,显式设置独立的 Cookie 域名:
立即学习“PHP免费学习笔记(深入)”;
<?php
// 确保仅对当前精确域名生效,禁止父域继承
ini_set('session.cookie_domain', '.local.mydev.com'); // 注意开头的点表示「此域及子域」
// 或更严格地限定为精确匹配(无前导点):
// ini_set('session.cookie_domain', 'local.mydev.com');
// 必须在 session_start() 之前调用
session_start();
$_SESSION['session_temp_id'] = 12345;
echo session_id();
?>
<a href="stest2.php">go to two</a>⚠️ 注意:session.cookie_domain 的值必须以 . 开头才能包含子域(如 .mydev.com),若设为 local.mydev.com(无点),则仅匹配该精确主机名;设为 .local.mydev.com 是非法的(TLD 规则限制),PHP 会静默忽略。
2. 为开发环境使用完全独立的顶级域名
修改 hosts 文件,避免与生产域名存在父子关系:
192.168.33.10 local-mydev.test # 而非 local.myCompanyWebsite.com
同时更新 Apache VirtualHost 的 ServerName,并确保浏览器访问 http://local-mydev.test。.test 是 IANA 保留的专用测试 TLD,天然与任何生产域名隔离。
3. 开发阶段启用会话名称区分(辅助手段)
在开发环境配置中动态设置 session.name,避免与生产冲突:
// 在所有脚本最顶部(或全局入口)
if (strpos($_SERVER['HTTP_HOST'], 'local-') === 0) {
ini_set('session.name', 'DEVSESSID');
}
session_start();这样开发环境 Cookie 名为 DEVSESSID,生产环境仍用 PHPSESSID,彻底规避命名冲突。
总结与最佳实践
- ❌ 不要使用 local.xxx.com 形式的开发域名指向生产主站(xxx.com),这是 Cookie 冲突的根源;
- ✅ 优先采用语义清晰、与生产无关的测试域名(如 app.local, dev.test, myproject.localhost);
- ✅ 所有开发环境务必显式配置 session.cookie_domain(如 '.dev.test')并配合 session.cookie_path(保持为 '/');
- ✅ 利用浏览器无痕模式快速验证是否为 Cookie 残留问题——若无痕窗口下正常,即可确认是跨域 Cookie 干扰;
- ? 调试时可通过 var_dump($_COOKIE) 确认实际收到的 Cookie 键值,并检查 /var/lib/php/sessions/ 下对应 sess_{id} 文件是否存在且可读。
遵循以上方法,即可彻底解决因域名设计不当引发的会话无法恢复问题,保障本地开发与线上环境完全隔离、互不干扰。
