header()必须在任何输出前调用,因HTTP协议要求响应头先于响应体发送;常见问题包括BOM、空格、包含文件末尾换行等,推荐将header()集中置于脚本顶部、省略结束标签、用headers_sent()调试。
header() 调用前不能有任何输出
PHP 的 header() 函数必须在任何实际输出(包括空格、换行、HTML、echo、print)之前调用,否则会报错 Warning: Cannot modify header information - headers already sent。这不是“顺序可改”的问题,而是底层 HTTP 协议限制:响应头必须在响应体之前发送。
常见触发点:
- PHP 文件开头有 UTF-8 BOM 字节(肉眼不可见,但会算作输出)
前存在空格或空行- 包含的文件(如
include 'config.php';)末尾有多余换行或空格 - 开启
output_buffering可缓解但不治本——它只是把输出暂存,最终仍需保证header()在ob_flush()或脚本结束前调用
如何安全控制 header 发送时机
真正可控的是「逻辑上何时决定发什么头」,而非「绕过发送顺序限制」。推荐做法:
- 把所有
header()调用集中放在脚本最顶部(session_start()之后、任何echo之前) - 用变量暂存状态(如
$redirect_url、$status_code),最后统一发头:if ($need_redirect) { header("Location: $redirect_url"); exit; } - 避免在函数内、模板中、循环里零散调用
header(),容易遗漏前置输出 - 开发时开启
display_errors = On和error_reporting(E_ALL),让“headers already sent”错误带出具体文件和行号
output_buffering 不是万能解药
虽然设置 output_buffering = On(或在脚本开头加 ob_start())能让部分意外输出被缓冲,从而不立即冲毁 header,但它只改变输出时机,不改变语义顺序:
立即学习“PHP免费学习笔记(深入)”;
- 缓冲区内容最终仍会在脚本结束时自动 flush,若此时已发过
header(),没问题;但若先echo后header(),缓冲区只是帮你“多活几行”,一旦ob_end_flush()或脚本结束,照样报错 - 某些 SAPI(如 CLI)不支持 output buffering,依赖它会导致环境迁移失败
- 大文件输出或长耗时脚本中开启 buffering 可能增加内存占用,且掩盖真实问题
调试 headers already sent 的真实位置
错误提示里的“sent by”行号常不准确(尤其含 include/require 时)。更可靠的方式:
- 用
headers_sent($file, $line)主动检查:if (headers_sent($file, $line)) { die("Headers already sent in $file on line $line"); } - 检查所有被包含文件的末尾:确保没有
?>后的空格,或直接省略 PHP 结束标签(?>)——这是 PSR-12 推荐做法 - 用
hexdump -C yourfile.php | head查看是否有 EF BB BF(BOM) - IDE 中启用“显示不可见字符”,重点看文件开头和包含文件结尾
实际项目里,最省心的做法是:所有 PHP 文件以 开头,不写 ?>,所有 header() 集中在业务逻辑判断之后、视图渲染之前,并用 exit 或 die 确保后续不执行。缓冲机制只用于特殊场景(如动态生成图片+附带 cookie),不是默认兜底方案。
