session_start()必须在任何输出前调用,否则因HTTP响应头已发送而报“headers already sent”错误;需确保文件无BOM、无空行、无输出,且仅在入口文件首行调用一次。
session_start() 必须在任何输出前调用,否则直接报错“headers already sent”。
这是初学者踩坑最多的一条——不是“能不能用”,而是“一用就崩”。
为什么 session_start() 总是报错?
错误现象:Warning: session_start(): Cannot send session cache limiter - headers already sent(或类似提示)。
本质原因:PHP 的会话依赖 HTTP 响应头(比如 Set-Cookie),而一旦有任意输出(空格、换行、、echo、BOM 字节),响应头就已发送,再调用 session_start() 就晚了。
立即学习“PHP免费学习笔记(深入)”;
- 检查 PHP 文件开头有没有空行、UTF-8 BOM(用编辑器“以 UTF-8 无 BOM 格式保存”)
- 确认
session_start()是整个脚本的第一条可执行语句(连注释前面都不能有空行) - 如果用了
require或include,也要检查被引入文件的开头是否干净 - 不推荐在多个文件里反复调用
session_start();统一在入口(如index.php)第一行写一次就够了
$_SESSION['user'] = 'alice'; echo '登录成功'; ?>
开启后怎么存和取数据?只靠 $_SESSION
$_SESSION 不是函数,是超全局数组——它本身不会“开启”或“关闭”,只在 session_start() 后才可用。
- 写入:
$_SESSION['key'] = 'value';(支持字符串、数字、数组,但别存对象或资源,除非你配了序列化处理器) - 读取:
echo $_SESSION['key'];,使用前建议先isset($_SESSION['key'])判断 - 删除单个值:
unset($_SESSION['key']); - 清空全部值(但保留会话 ID):
$_SESSION = [];或session_unset();
注意:$_SESSION 的数据存在服务器端(默认是 /tmp 下的文件),不是客户端 Cookie。Cookie 只负责传 PHPSESSID 这个钥匙。
为什么开了 session_start() 却没看到 Cookie?
常见假象:页面没报错,但浏览器开发者工具里找不到 PHPSESSID Cookie —— 很可能是因为会话还没真正“写入”。
- PHP 默认只在
$_SESSION被修改后,才会生成/更新会话文件并发送 Cookie - 如果只读不写(比如只
echo $_SESSION['user'];),且之前没写过,session_start()可能不发 Cookie(取决于session.cache_limiter设置) - 验证是否生效:访问后立刻看响应头是否有
Set-Cookie: PHPSESSID=xxx;或临时加一句$_SESSION['touch'] = time();强制触发写入 - 本地开发时若用
localhost,某些旧版浏览器对cookie_secure=1会拒绝写入,记得检查session.cookie_secure是否误开
登出时怎么才算“彻底关闭”会话?
很多初学者以为 session_destroy() 就完事了——其实它只删服务器文件,客户端 Cookie 还挂着,下次请求仍可能恢复旧会话(尤其配合自动重启时)。
- 标准登出三步走:
① 清空数据:$_SESSION = [];
② 销毁服务端文件:session_destroy();
③ 删除客户端 Cookie:setcookie(session_name(), '', time() - 3600, '/'); - 更安全的做法:登出前先
session_regenerate_id(true)换新 ID,避免会话固定攻击 - 不要依赖
session.gc_maxlifetime来“等它过期”——这个是垃圾回收阈值,不是精确计时器;业务层建议自己存$_SESSION['expire_time']主动判断
会话看似简单,但启动时机、数据写入触发、Cookie 同步、登出清理这四点,任一疏漏都会导致“明明写了却没效果”或“登出后还能进后台”。盯住那行 session_start() 的位置,比背一百个函数更重要。