PHP会话管理兼容用法详解

PHP 7.4+ 中 session_start() 必须传数组参数以兼容老版本行为，否则 cookie 属性失效；应使用 session_status() 判断会话状态，避免 session_id() 误判；跨域共享需在参数中设 cookie_domain；禁止引用赋值 $_SESSION。

PHP 7.4+ 中 session_start() 必须传数组参数才兼容老版本行为

PHP 7.4 默认启用严格模式，session_start() 若不传参数，会忽略 php.ini 中的 session.cookie_httponly、session.cookie_secure 等配置，导致老代码在新环境里 Cookie 属性失效。这不是 bug，是设计变更。

正确写法是显式传入完整配置数组：

session_start([
    'cookie_httponly' => true,
    'cookie_secure'   => $_SERVER['HTTPS'] === 'on',
    'cookie_samesite' => 'Lax',
]);

• 漏掉 'cookie_samesite' 会导致 Chrome/Firefox 拒绝第三方上下文中的会话 Cookie（尤其嵌入 iframe 或跨域 POST）
• 'cookie_secure' 不能硬写 true，否则 HTTP 环境下会话 Cookie 不发送，建议按协议动态判断
• PHP 8.0+ 已废弃 ini_set('session.cookie_httponly', '1') 这类运行时设置，必须在 session_start() 中声明

PHP 5.6–7.3 老项目迁移到新版本时 session_id() 的坑

老代码常依赖 session_id() 返回空字符串来判断会话是否已启动，但在 PHP 7.4+ 中，即使未调用 session_start()，session_id() 也可能返回非空字符串（如 CLI 下生成的临时 ID），导致逻辑误判。

安全判断方式应改为：

if (session_status() === PHP_SESSION_NONE) {
    session_start([...]);
}

• session_status() 是唯一可靠的状态检测函数，返回 PHP_SESSION_ACTIVE / PHP_SESSION_NONE / PHP_SESSION_DISABLED
• 不要用 isset($_SESSION) 判断——它可能因 auto_start 或提前 include 导致误判
• PHP 5.4+ 就支持 session_status()，无兼容性问题，老项目可直接替换

跨子域名共享会话时 session_set_cookie_params() 已被弃用

PHP 7.3 开始，session_set_cookie_params() 在 session_start() 之后调用无效；PHP 8.0+ 直接报 E_DEPRECATED。老项目若在 session_start() 后修改 domain，会话 Cookie 域名不会更新。

必须把 domain 配置合并进 session_start() 参数：

session_start([
    'cookie_domain' => '.example.com', // 注意开头的点
    'cookie_path'   => '/',
]);

• 'cookie_domain' 值必须以点开头（如 '.example.com'），否则浏览器不认为是通配子域
• 不能写成 'cookie_domain' => 'example.com'，这只会匹配精确主机名
• 如果用了 session_name('MYSESSID')，需确保 name 不含特殊字符，否则某些旧版 Safari 会拒绝 Cookie

使用 $_SESSION 时注意引用赋值引发的持久化失败

PHP 7.4+ 对 $_SESSION 内部结构做了优化，若对其中元素做引用赋值（如 $data =& $_SESSION['user'];），后续修改 $data 可能不会同步回会话存储，尤其在使用 Redis 或 Memcached 作为 session handler 时。

避免引用，改用显式赋值或克隆：

// ❌ 危险
$user =& $_SESSION['user'];
$user['last_login'] = time();

// ✅ 安全
$_SESSION['user']['last_login'] = time();
// 或
$_SESSION['user'] = array_merge($_SESSION['user'], ['last_login' => time()]);

• 引用赋值在文件型 session handler 下可能“看似正常”，但切换到 Redis 后立即失效
• PHP 8.1+ 对 $_SESSION 的引用检测更严格，会触发 notice
• 如果必须用引用逻辑，先 unset($_SESSION['key']) 再重新赋值，强制重建内部指针

实际迁移中最容易被忽略的，是 session.cookie_samesite 和 session_status() 的组合使用——前者影响前端能否发带 Cookie 的请求，后者决定后端是否真在管理会话。两者不配对，就容易出现“明明登录了却反复跳转登录页”的静默故障。