PHP会话需调用session_start()才生效,且必须在任何输出前执行;否则因HTTP头已发送而报错。应确保文件为UTF-8无BOM编码、无空白字符、引入文件干净,并检查session.save_path可写性、Cookie启用状态及域名配置。
PHP 会话(session)不是“自动生效”的,必须在输出任何内容前调用 session_start(),否则会报 headers already sent 错误。
为什么 session_start() 总报错?
这是初学者踩得最多的一个坑:只要页面顶部有空格、BOM 字符、echo、print,甚至 UTF-8 的 BOM 头,都会导致 HTTP 头提前发送,session_start() 就会失败。
- 检查 PHP 文件是否用 UTF-8 无 BOM 格式保存(编辑器里要选“UTF-8 without BOM”)
- 确保
session_start()是脚本中第一个执行的函数,前面不能有任何输出(包括空行和空格) - 如果用了
require或include,也要检查被引入文件是否干净 - 错误信息里提示的“in … on line X”,那个 X 行往往不是问题根源,而是第一个输出的位置
$_SESSION 怎么安全地存取数据?
$_SESSION 是超全局数组,但它的生命周期依赖 session ID 的传递,且默认不加密、不校验来源。
- 赋值直接写:
$_SESSION['user_id'] = 123;,无需序列化 - 读取前建议判断是否存在:
if (isset($_SESSION['user_id'])) { ... } - 不要把敏感数据(如密码、token 原文)直接塞进
$_SESSION;若需存 token,至少用hash_equals()校验,或改用服务端缓存 + 随机 session key - 修改
$_SESSION后不会自动同步到存储,PHP 在脚本结束时才写入(除非手动调session_write_close())
为什么刷新页面后 $_SESSION 没了?
session 数据丢了,通常不是代码写错了,而是底层机制没对上。
立即学习“PHP免费学习笔记(深入)”;
- 检查
session.save_path是否可写(运行var_dump(session_save_path());,然后is_writable()测试) - 确认浏览器是否禁用了 Cookie(session 默认靠 Cookie 传
PHPSESSID;可临时用ini_set('session.use_cookies', 0); ini_set('session.use_trans_sid', 1);测试 URL 传参,但仅限调试 - 注意子域名问题:如果登录在
auth.example.com,而跳转到app.example.com,需提前设session_set_cookie_params(['domain' => '.example.com']); - 开发时别用隐私模式窗口反复测试——有些浏览器会重置 session cookie
session 看似简单,但它的状态依赖 Web 服务器配置、浏览器行为、PHP 编译选项(比如是否启用 session.upload_progress.enabled)等多个环节。出问题时,先看 session_id() 是否为空,再查 session_status() 返回值,比盲目 echo 更有效。
