PHP 会话控制

封面图 • 2025-10-18 • PHP

PHP 的**会话控制（Session Control）**是用于在 Web 应用中跟踪用户状态的一种机制。由于 HTTP 协议本身是无状态的，每次请求都是独立的，因此需要通过会话来维持用户登录状态、保存临时数据等。

---

## 一、PHP Session 基本原理

### 1. **Session 的工作方式**

- 当用户第一次访问网站时，PHP 会生成一个唯一的 `session ID`。
- 这个 `session ID` 会被存储在客户端的 Cookie 中（默认），或者通过 URL 传递（如果禁用了 Cookie）。
- PHP 服务器端会根据这个 `session ID` 来读取或写入与该用户相关的会话数据。

---

## 二、PHP Session 的使用方法

### 1. **开启 Session**

```php
<?php
session_start(); // 必须放在输出之前
?>
```

> 注意：`session_start()` 必须在任何输出（HTML、空格、换行等）之前调用。

---

### 2. **设置 Session 变量**

```php
$_SESSION['username'] = 'JohnDoe';
$_SESSION['user_id'] = 123;
```

---

### 3. **获取 Session 变量**

```php
echo $_SESSION['username'];
echo $_SESSION['user_id'];
```

---

### 4. **删除 Session 变量**

```php
unset($_SESSION['username']);
```

---

### 5. **销毁 Session**

```php
session_unset();     // 清除所有 session 变量
session_destroy();   // 销毁 session，包括 session ID
```

> 如果你想彻底清除用户的所有会话信息，应该同时删除 Cookie 中的 session ID：

```php
setcookie(session_name(), '', time() - 3600);
session_destroy();
```

---

## 三、Session 配置（`php.ini`）

以下是一些常见的配置项：

| 配置项 | 说明 |
|--------|------|
| `session.save_handler` | 存储方式（默认为 `files`） |
| `session.save_path` | 存储路径（如 `/var/lib/php/sessions/`） |
| `session.cookie_lifetime` | Cookie 的生存时间（单位秒） |
| `session.gc_maxlifetime` | Session 最大存活时间（单位秒） |
| `session.use_cookies` | 是否使用 Cookie 保存 Session ID |
| `session.use_only_cookies` | 是否只使用 Cookie（防止 Session 固定攻击） |

---

## 四、Session 安全注意事项

1. **不要将敏感信息存入 Session**  
   如密码、信用卡信息等，容易被窃取。

2. **使用 HTTPS 加密传输**  
   防止 Session ID 被中间人截获。

3. **防止 Session 固定攻击**  
   在用户登录后，重新生成 Session ID：

```php
   session_regenerate_id(true); // true 表示删除旧的 session 文件
   ```

4. **设置合理的 Session 生命周期**  
   避免长时间未操作导致 Session 泄漏。

---

## 五、Session 与 Cookie 的区别

| 特性 | Session | Cookie |
|------|---------|--------|
| 存储位置 | 服务器端 | 客户端（浏览器） |
| 安全性 | 更高 | 较低（容易被篡改） |
| 数据大小 | 可以较大 | 通常限制在 4KB 左右 |
| 使用场景 | 用户登录状态、临时数据 | 用户偏好设置、跟踪浏览记录 |

---

## 六、示例：用户登录验证

```php
<?php
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $username = $_POST['username'];
    $password = $_POST['password'];

// 模拟数据库验证
    if ($username === 'admin' && $password === '123456') {
        $_SESSION['logged_in'] = true;
        $_SESSION['username'] = $username;
        header('Location: dashboard.php');
        exit;
    } else {
        echo "用户名或密码错误";
    }
}
?>

<form method="post">
    <input type="text" name="username" placeholder="用户名">
    <input type="password" name="password" placeholder="密码">
    <button type="submit">登录</button>
</form>
```

---

## 七、Session 与文件存储（默认）

PHP 默认使用文件系统存储 Session 数据，存储路径由 `session.save_path` 控制。

例如，在 `/var/lib/php/sessions/` 下会生成类似 `sess_abc123...` 的文件。

---

## 八、自定义 Session 存储（高级）

你可以通过 `session_set_save_handler()` 自定义 Session 存储方式，比如：

- 存储到数据库
- 使用 Redis 或 Memcached 等缓存系统

---

## 九、常见问题

### Q1: 为什么 `session_start()` 报错？

- 输出了 HTML 或空白字符
- PHP 配置中没有启用 Session
- `session.save_path` 路径不可写

### Q2: Session 数据丢失怎么办？

- 检查 `session.gc_maxlifetime` 设置
- 检查服务器是否清理了过期 Session
- 检查 `session.save_path` 是否正确

---

如果你有具体的使用场景（如登录系统、购物车等），我可以提供更详细的示例代码和最佳实践。需要吗？