php 7.4+ 中 session_start() 必须传数组参数以兼容老版本行为,否则 cookie 属性失效;应使用 session_status() 判断会话状态,避免 session_id() 误判;跨域共享需在参数中设 cookie_domain;禁止引用赋值 $_session。
PHP 7.4+ 中 session_start() 必须传数组参数才兼容老版本行为
PHP 7.4 默认启用严格模式,session_start() 若不传参数,会忽略 php.ini 中的 session.cookie_httponly、session.cookie_secure 等配置,导致老代码在新环境里 Cookie 属性失效。这不是 bug,是设计变更。
正确写法是显式传入完整配置数组:
session_start([
'cookie_httponly' => true,
'cookie_secure' => $_SERVER['HTTPS'] === 'on',
'cookie_samesite' => 'Lax',
]);
- 漏掉
'cookie_samesite'会导致 Chrome/Firefox 拒绝第三方上下文中的会话 Cookie(尤其嵌入 iframe 或跨域 POST) -
'cookie_secure'不能硬写true,否则 HTTP 环境下会话 Cookie 不发送,建议按协议动态判断 - PHP 8.0+ 已废弃
ini_set('session.cookie_httponly', '1')这类运行时设置,必须在session_start()中声明
PHP 5.6–7.3 老项目迁移到新版本时 session_id() 的坑
老代码常依赖 session_id() 返回空字符串来判断会话是否已启动,但在 PHP 7.4+ 中,即使未调用 session_start(),session_id() 也可能返回非空字符串(如 CLI 下生成的临时 ID),导致逻辑误判。
安全判断方式应改为:
立即学习“PHP免费学习笔记(深入)”;
if (session_status() === PHP_SESSION_NONE) {
session_start([...]);
}
-
session_status()是唯一可靠的状态检测函数,返回PHP_SESSION_ACTIVE/PHP_SESSION_NONE/PHP_SESSION_DISABLED - 不要用
isset($_SESSION)判断——它可能因 auto_start 或提前 include 导致误判 - PHP 5.4+ 就支持
session_status(),无兼容性问题,老项目可直接替换
跨子域名共享会话时 session_set_cookie_params() 已被弃用
PHP 7.3 开始,session_set_cookie_params() 在 session_start() 之后调用无效;PHP 8.0+ 直接报 E_DEPRECATED。老项目若在 session_start() 后修改 domain,会话 Cookie 域名不会更新。
必须把 domain 配置合并进 session_start() 参数:
session_start([
'cookie_domain' => '.example.com', // 注意开头的点
'cookie_path' => '/',
]);
-
'cookie_domain'值必须以点开头(如'.example.com'),否则浏览器不认为是通配子域 - 不能写成
'cookie_domain' => 'example.com',这只会匹配精确主机名 - 如果用了
session_name('MYSESSID'),需确保 name 不含特殊字符,否则某些旧版 Safari 会拒绝 Cookie
使用 $_SESSION 时注意引用赋值引发的持久化失败
PHP 7.4+ 对 $_SESSION 内部结构做了优化,若对其中元素做引用赋值(如 $data =& $_SESSION['user'];),后续修改 $data 可能不会同步回会话存储,尤其在使用 Redis 或 Memcached 作为 session handler 时。
避免引用,改用显式赋值或克隆:
// ❌ 危险 $user =& $_SESSION['user']; $user['last_login'] = time(); // ✅ 安全 $_SESSION['user']['last_login'] = time(); // 或 $_SESSION['user'] = array_merge($_SESSION['user'], ['last_login' => time()]);
- 引用赋值在文件型 session handler 下可能“看似正常”,但切换到 Redis 后立即失效
- PHP 8.1+ 对
$_SESSION的引用检测更严格,会触发 notice - 如果必须用引用逻辑,先
unset($_SESSION['key'])再重新赋值,强制重建内部指针
session.cookie_samesite 和 session_status() 的组合使用——前者影响前端能否发带 Cookie 的请求,后者决定后端是否真在管理会话。两者不配对,就容易出现“明明登录了却反复跳转登录页”的静默故障。 
