PHP сессии: практическое руководство для начинающих (безопасность, примеры, ошибки)
PHP сессии — это механизм хранения состояния между запросами. Браузер получает cookie с идентификатором (обычно PHPSESSID), а данные сессии живут на сервере. В этой статье разберём, как работать с сессиями в PHP: запуск, чтение и запись, безопасность (regenerate, HttpOnly, SameSite), флеш-сообщения и мини-пример корзины.
Быстрый старт: session_start, чтение и запись
<?php
declare(strict_types=1);
// Всегда вызывайте session_start() до любого вывода (включая пробелы).
session_start();
// Запись и чтение
$_SESSION['user'] = 'alice';
echo 'Привет, ' . $_SESSION['user'];
// Счётчик посещений
$_SESSION['counter'] = ($_SESSION['counter'] ?? 0) + 1;
echo ' | Вы заходили: ' . $_SESSION['counter'] . ' раз(а)';
Важно: session_start() должен быть вызван до вывода заголовков. Ошибка “Headers already sent” означает, что вы что-то успели вывести раньше (даже пробел или BOM).
Грамотные настройки cookie для сессии
Прежде чем запускать сессию, задайте параметры cookie: срок жизни, безопасность, SameSite.
<?php
// Настраиваем cookie сессии ДО session_start()
session_set_cookie_params([
'lifetime' => 0, // до закрытия браузера
'path' => '/',
'domain' => '',
'secure' => isset($_SERVER['HTTPS']), // только по HTTPS
'httponly' => true, // недоступно JS - защита от XSS
'samesite' => 'Lax', // или 'Strict' для максимальной жесткости
]);
ini_set('session.use_strict_mode', '1'); // защита от фиксации ID
session_start();
Ключевые опции: HttpOnly защищает куку от чтения JS, Secure требует HTTPS, SameSite снижает риск CSRF. Strict безопаснее, но может ломать сценарии с внешними переходами; Lax — разумный компромисс.
Безопасность сессий в PHP: must-have приёмы
<?php
session_start();
// Привязка к браузеру (и частично к IP — осторожно с прокси и мобильными сетями)
$key = 'ua_sig';
$signature = hash('sha256', ($_SERVER['HTTP_USER_AGENT'] ?? '') . '|' . ($_SERVER['REMOTE_ADDR'] ?? ''));
if (!isset($_SESSION[$key])) {
$_SESSION[$key] = $signature;
} elseif ($_SESSION[$key] !== $signature) {
// Возможная кража сессии - обнуляем
session_regenerate_id(true);
$_SESSION = [];
http_response_code(403);
exit('Сессия недействительна');
}
Совет: после успешной авторизации всегда делайте regenerate, чтобы предотвратить фиксацию сессии.
<?php
function onLogin(int $userId): void {
session_regenerate_id(true); // новый ID после логина
$_SESSION['user_id'] = $userId;
$_SESSION['logged_at'] = time();
}
Корректный выход: уничтожение сессии и куки
<?php
session_start();
// Очищаем массив сессии
$_SESSION = [];
// Удаляем cookie сессии
if (ini_get('session.use_cookies')) {
$p = session_get_cookie_params();
setcookie(session_name(), '', time() - 42000, $p['path'], $p['domain'], $p['secure'], $p['httponly']);
}
// Уничтожаем сессию
session_destroy();
header('Location: /');
exit;
Флеш-сообщения (flash): одноразовые уведомления через сессию
Флеши удобны для сообщений после редиректа: «Профиль сохранён», «Ошибка формы» и т.д.
<?php
session_start();
function flash(string $key, ?string $message = null): ?string {
if ($message !== null) {
$_SESSION['flash'][$key] = $message;
return null;
}
$msg = $_SESSION['flash'][$key] ?? null;
unset($_SESSION['flash'][$key]); // одноразово
return $msg;
}
// Установка и редирект
flash('success', 'Профиль сохранён');
header('Location: /profile.php');
exit;
<?php
// profile.php
session_start();
if ($msg = flash('success')) {
echo '<div class="alert alert-success">' . htmlspecialchars($msg) . '</div>';
}
Мини-пример: корзина на сессиях
<?php
session_start();
$_SESSION['cart'] = $_SESSION['cart'] ?? [];
function addToCart(int $id, int $qty = 1): void {
$_SESSION['cart'][$id] = ($_SESSION['cart'][$id] ?? 0) + $qty;
}
function removeFromCart(int $id): void { unset($_SESSION['cart'][$id]); }
function cartTotalItems(): int { return (int) array_sum($_SESSION['cart']); }
addToCart(101, 2);
addToCart(205);
echo 'В корзине товаров: ' . cartTotalItems();
Такую корзину легко расширить: добавить цены, итоги, валидацию и сохранение заказа в БД.
Хранение сессий: файлы, Redis и сборщик мусора
По умолчанию PHP хранит сессии в файлах (session.save_path). Для высокой нагрузки используйте Redis/Memcached.
<?php
// Требуются соответствующие расширения (phpredis или memcached)
ini_set('session.save_handler', 'redis');
ini_set('session.save_path', 'tcp://127.0.0.1:6379?persistent=1&database=2&prefix=php_sess:');
session_start();
Управляйте сборщиком мусора сессий: session.gc_maxlifetime (время жизни), session.gc_probability и session.gc_divisor (шанс на запуск GC).
Частые ошибки и как их избежать
Чек-лист по сессиям
Хотите системно прокачать PHP и освоить работу с БД, практикой и проектами? Загляните в «Полный курс по PHP и MySQL с нуля до гуру — с современными примерами» — отличный следующий шаг после этой статьи.
