初学者学php会话怎么开启_初学者学php会话开启方式【会话】

session_start()必须在任何输出前调用，否则因HTTP响应头已发送而报“headers already sent”错误；需确保文件无BOM、无空行、无输出，且仅在入口文件首行调用一次。

session_start() 必须在任何输出前调用，否则直接报错“headers already sent”。

这是初学者踩坑最多的一条——不是“能不能用”，而是“一用就崩”。

为什么 session_start() 总是报错？

错误现象：Warning: session_start(): Cannot send session cache limiter - headers already sent（或类似提示）。

本质原因：PHP 的会话依赖 HTTP 响应头（比如 Set-Cookie），而一旦有任意输出（空格、换行、、echo、BOM 字节），响应头就已发送，再调用 session_start() 就晚了。

立即学习“PHP免费学习笔记（深入）”；

• 检查 PHP 文件开头有没有空行、UTF-8 BOM（用编辑器“以 UTF-8 无 BOM 格式保存”）
• 确认 session_start() 是整个脚本的第一条可执行语句（连注释前面都不能有空行）
• 如果用了 require 或 include，也要检查被引入文件的开头是否干净
• 不推荐在多个文件里反复调用 session_start()；统一在入口（如 index.php）第一行写一次就够了

$_SESSION['user'] = 'alice';
echo '登录成功';
?>

开启后怎么存和取数据？只靠 $_SESSION

$_SESSION 不是函数，是超全局数组——它本身不会“开启”或“关闭”，只在 session_start() 后才可用。

• 写入：$_SESSION['key'] = 'value';（支持字符串、数字、数组，但别存对象或资源，除非你配了序列化处理器）
• 读取：echo $_SESSION['key'];，使用前建议先 isset($_SESSION['key']) 判断
• 删除单个值：unset($_SESSION['key']);
• 清空全部值（但保留会话 ID）：$_SESSION = []; 或 session_unset();

注意：$_SESSION 的数据存在服务器端（默认是 /tmp

为什么开了 session_start() 却没看到 Cookie？

常见假象：页面没报错，但浏览器开发者工具里找不到 PHPSESSID Cookie —— 很可能是因为会话还没真正“写入”。

• PHP 默认只在 $_SESSION 被修改后，才会生成/更新会话文件并发送 Cookie
• 如果只读不写（比如只 echo $_SESSION['user'];），且之前没写过，session_start() 可能不发 Cookie（取决于 session.cache_limiter 设置）
• 验证是否生效：访问后立刻看响应头是否有 Set-Cookie: PHPSESSID=xxx；或临时加一句 $_SESSION['touch'] = time(); 强制触发写入
• 本地开发时若用 localhost，某些旧版浏览器对 cookie_secure=1 会拒绝写入，记得检查 session.cookie_secure 是否误开

登出时怎么才算“彻底关闭”会话？

很多初学者以为 session_destroy() 就完事了——其实它只删服务器文件，客户端 Cookie 还挂着，下次请求仍可能恢复旧会话（尤其配合自动重启时）。

• 标准登出三步走：
   ① 清空数据：$_SESSION = [];
   ② 销毁服务端文件：session_destroy();
   ③ 删除客户端 Cookie：setcookie(session_name(), '', time() - 3600, '/');
• 更安全的做法：登出前先 session_regenerate_id(true) 换新 ID，避免会话固定攻击
• 不要依赖 session.gc_maxlifetime 来“等它过期”——这个是垃圾回收阈值，不是精确计时器；业务层建议自己存 $_SESSION['expire_time'] 主动判断

会话看似简单，但启动时机、数据写入触发、Cookie 同步、登出清理这四点，任一疏漏都会导致“明明写了却没效果”或“登出后还能进后台”。盯住那行 session_start() 的位置，比背一百个函数更重要。