Как работать с сессиями в php?

Question

[Иван Веков]

Добрый день,

Пишу небольшой проектик на чистом php, ранее не пробовал - использовал slim, laravel, bitrix, орм-ы всякие. И как-то не задумывался о работе сессий.

Сейчас делаю костыльную авторизацию (просто чтобы была). И наткнулся на проблему.

Я так понимаю, чтобы работать с сессиями, нужно прописать session_start()? А где это сделать? Я вставляю его перед



Так получается:

<?if(!$_SESSION)session_start();?>
<!DOCTYPE html>
<html>
<head>

Но вместо сессий получаю ошибки:
1) Undefined variable $_SESSION in /var/www/html/public/template/header.php
2) session_start(): Session cannot be started after headers have already been sent

Читать я умею, вижу, что пишет что заголовки уже были отправлены. Даже пробовал гуглить. Везде люди просто ставят session_start() в середину кода, им советуют перенести перед и у них сразу всё работает. У меня, как видите - не помогло)

Спасите пожалуйста)

Comments

[FanatPHP]

Ошибку исправь, гений

[Ivan Shalganov]

Полагаю это не весь код? Проверь все include() выше, возможно затисался пробел перед <? или после ?>. А так же проверьте, если у вас кодировка UTF8, что она без BOM.

[Иван Веков]

Ivan Shalganov, тут проблема была похоже в выводе ошибок. Я проверял массив сессии, перед открытием сессии. Я так понимаю этого не нужно делать - это во-первых. А во-вторых - он выдавал ворнинг о том, что не знает такой переменной. В итоге получалось что этот код убивал сам себя. Отключил вывод предупреждений - стало норм. Ну и потом убрал условие.

[Ivan Shalganov]

А, ясно. Удачи в начинаниях!

Answer 1

[Иван Веков]

Проблема была довольно таки наглядная. Заключалась в выводе ошибок и лишней проверке.

Использовал error_reporting(E_ERROR | E_PARSE);
Чтобы не выводились предупреждения о том, что переменная не определена.

А потом почитав немного еще доков по сессии, решил что проверка в общем-то лишняя. Оставил просто session_start(); Потому что она не только запускает новую сессию, но и продолжает существующую. Следовательно в доп проверке - нет смысла.

Comments

[FanatPHP]

Все правильно понял, только за error_reporting(E_ERROR | E_PARSE); надо по рукам бить.
Ошибки надо исправлять, а не под ковер заметать

в error_reporting всегда должно быть только одно значение - E_ALL

[Иван Веков]

Не, вывод ошибок то я вернул) Это был шаг на пути к осмыслению откуда вообще ошибка взялась.

Answer 2

[Сергей Соколов]

php.net/manual/ru/session.examples.basic

Answer 3

[Ivan Shalganov]

При запуске сессии выставляется кука (id сессии), которая передаётся в заголовке ответа. Поэтому сессия требует что бы заголовки не были отправлены. Можете выключить установку кук сессией
ini_set('session.use_cookies', '0');

Вообще не рекомендую использовать нативные сессии PHP, там много граблей. И на одну граблю уже наступили. Будут еще.

Comments

[FanatPHP]

Что на тостере убивает - это когда на совершенно "тупой" в смысле не требующий никакого интеллекта вопрос вдруг вылезает уже реально бессмысленный, просто анекдотический ответ.

Сначала, посла долгого ковыряния в носу, выдается гениальная рекомендация выключить куки. Как это поможет с ошибкой - не объясняется (нет, ошибка не пропадет даже если выключить отправку кук). Как не объясняется и то, как вообще теперь автор должен работать с сессией.

Но самое смешное, как обычно, идет дальше: мы очень афтаритетно не рекомендуем использовать сессии, причем после того как порекомендовали не использовать куки. И как теперь идентифицировать пользователя на сайте? По паспорту и справке из ОВД?

[Ivan Shalganov]

FanatPHP, не умеете вы анализировать ответы? Включите голову. Автоотправку заголовков (кук) можно выключить, но самим ставить куку сессии когда это удобнее для вас. То что вы не знаете минусов нативных сессий - это ваш недостаток как разработчика. Я не стал рассказывать про проблемы так как это офтоп - так как тема про другое. Спросили бы - рассказал. Но так как у Вас уже пригорело, то отвечу более развернуто, специально для Вас.

Суть совета: отключить отправку заголовков при session_start() и самим ставить куку c ID сессии там где это удобно.

Проблемы сессий:
1) Что будет с сессией если одновременно N вкладок браузера начнут загрузку страницы с одной сессией (допустим браузер перезагрузили)? Какая "вкладка" будет работать с сессией? А какие "вкладки" будут ждать пока другая "вкладка" перестанет работать с сессией? Что произойдёт с fpm/apache когда из-за ожидающих "вкладок" кончатся воркеры? Кто будет отвечать за залипший сервер?
2) Нативные сессии не масштабируются (так как хранятся локально), если сразу не учесть масштабирование то потом Ваш "чудо" проект проще будет отправить в помойку. Сессии можно писать в редис, например. В редисе, используя хеш-структуры можно менять значения по ключам, а не всей сессии, как сейчас. Собственно из-за чего лочится сессия при при работе с ней.
3) Сессия вмешивается в заголовки кеширования, вставляя свои значения в Cache-Control и Expires

Ну как-то так. Я тут похоливарить прихожу, что уж ¯\_(ツ)_/¯. А вообще у товарища, походу, проблема скорее всего в другом. Отпишусь отдельно

[FanatPHP]

ой мамочки, "я похоливарить прихожу" :)
у тебя холиварилка еще не выросла. ты приходишь просто языком помести, вывалить кучу слов, не понимая их смысла. причем буквально.

В одном предложении сам же (откуда-то скопипастив, и не поняв ни слова), разглагольствует про "Сессия вмешивается в заголовки кеширования, вставляя свои значения в Cache-Control и Expires"
И тут же рядом - "Суть совета: отключить отправку заголовков при session_start() и самим ставить куку c ID сессии". То есть из первого жирного текста даже не доходит, что кукой заголовки не исчерпываются.

Это не говоря уже о супер-гениальной идее выставлять сессионные куки, но "отдельно". Как будто это что-то меняет. Ох уж эти зумеры. Нахватаются в ютубе умнх слов, но думалка при этом в зачаточном состоянии так и осталась :)

[Ivan Shalganov]

Пф, session_cache_limiter() отключит Cache-Control и варнинги. Ищется в лёгкую. Думал что хотя бы до этого сами додумаетесь. Кажется, переоценил вас.

Может всё-таки расскажете в чем плохого самим управлять сессиоными куками? Да и сессией в целом? А заодно опровергните проблемы сессий, которые я перечислил, на которые вы так активно возбудились? О неси знания всем, "дедуля"!

[FanatPHP]

в общем ты окончательно запутался. на простой вопрос ответить на смог, съехал в скопипащенный откуда-то кусок про сессии, из которого сам ни слова не понял

слава богу автор вопроса умнее оказался, с одной простой подсказки ошибку нашел и исправил
а ты тут бегай дальше, проповедуй про страшные встроенные сессии.

[Ivan Shalganov]

Ясно, аргументации у Вас нет. Оно и понятно — Вы об этом ничего не знаете. Этих данных в интернете не найдёте, так как это из личного опыта, отчего и предупреждаю. Рекомендую Вам всё-таки идти в энтерпрайзы или в продуктовые компании, на галерах/фрилансах многому не научитесь.

Answer 4

[iamdivine]

if (!isset($_SESSION)
session_start();

Но не советую так делать. Бестолковая проверка

Вообще сначала надо присвоить сессии значение, например после авторизации

if (isset($_POST['auth'])) {
    if($func->checkPassword($_POST['login'], $_POST['password'])) {
        $_SESSION[name] = $_POST['login'];
        header("Location: cp.php");
    }
    else
        $msg = "Не верный логин или пароль";
}

Тут у меня функция проверки пароля через password_verify

if($func->checkPassword($_POST['login'], $_POST['password'])) {

Соответственно после авторизации создастся сессия в которую записан login человека который ввел в форму свое имя
далее допустим создадим файл cp.php
И нам не надо чтобы без авторизации он зашел туда т.е. ставим проверку

if(!isset($_SESSION['name']) {
//Любые манипуляции если он не залогинен
//например кинем на login.php
header('Location: login.php')
}

isset - проверка на установленное значение переменной т.е. если ее не существует, то код в скобках работает
если все ок то можем дальше делать что хотим
У тебя проблема в том, что ты проверяешь массив $_SESSION хотя если ты не авторизован его нет + ты его не заполнил как заполнил я (name)

Comments

[FanatPHP]

if (isset($_SESSION))
session_start();

это гениальный код, без дураков.
Я много повидал кода на похапе, и знаю только один, который круче этого.

Распечатаю и повешу на стенку, в качестве психотерапии. Буду смотреть на него, когда накосячу. И сразу полегчает. Если люди пишут такое, то я, значит, не безнадёжен. Ну и в качестве теста. Когда напишу подобное, то значит всё - привет, старик Альцгеймер.

Остальные рассуждения не лучше, но у меня запас яда кончился. Пойду восполнять.

[iamdivine]

FanatPHP, ! забыл чел, че токсик такой
да и дальше я расписал как лучше делать. Можешь написать лучше - в чем проблема?

[FanatPHP]

просто подумай над этим кодом

[iamdivine]

FanatPHP, Мужик, ничего я думать не буду. Ниже я написал ему верное решение и все. Вместо того чтобы слюной брызгать указал бы ошибки мне или автору.
Тут сервис помощи с вопросами, а не клуб для шутников за 40

[FanatPHP]

ты написал не решение, а чепуху, которая не имеет никакого отношения к его вопросу
а здесь, как ты правильно заметил, сервис для написания ответов, а не бреда.

автор-то, в отличие от тебя думать не поленился, давно понял свою ошибку и исправил
а ты все советы ему даёшь.