PHP 8.4 中 session_start() 失败主因是 session.save_path 不可写或未配置，且 session_set_cookie_params() 需显式传全参数，否则报错；输出提前、BOM、Redis/Memcached 配置错误也会导致会话失效。

session_start() 报 Warning: session_start(): Failed to read session data

PHP 8.4 默认启用了更严格的会话存储校验，session_start() 失败往往不是代码问题，而是底层存储路径不可写或 session.save_path 未显式配置。PHP 8.4 不再容忍 session.save_path 为空或指向不存在/无权限目录的情况，会直接中断并报错。

• 检查 session.save_path 是否在 php.ini 中被注释或留空：运行 php -i | grep session.save_path 确认实际值
• 确保该路径存在且 Web 服务器用户（如 www-data、_www 或 nginx）有读写权限：

  mkdir -p /var/lib/php/sessions
  chown www-data:www-data /var/lib/php/sessions
  chmod 1733 /var/lib/php/sessions

• 若用 CLI 测试，请注意 CLI 和 FPM 的 php.ini 可能不同，务必确认当前 SAPI 使用的配置文件

session_set_cookie_params() 在 PHP 8.4 中失效或报 Strict Warning

PHP 8.4 强化了对 Cookie 参数的安全默认值约束，session_set_cookie_params() 若传入 0 作为 $lifetime（即“浏览器关闭后过期”），但未显式设置 $secure 和 $httponly，会触发严格警告甚至拒绝执行——尤其在 error_reporting = E_ALL 下明显。

• 必须显式传入全部参数（PHP 8.4 推荐方式）：

  session_set_cookie_params([
      'lifetime' => 0,
      'path' => '/',
      'domain' => '',
      'secure' => true,   // 即使本地开发也建议设为 true + HTTPS 代理
      'httponly' => true,
      'samesite' => 'Lax'
  ]);

• 避免只传前几个位置参数，例如 session_set_cookie_params(0, '/') —— PHP 8.4 会因缺失安全字段而静默忽略或报错
• 如果部署在 HTTP 环境且暂无法启用 HTTPS，secure 必须设为 false，但需配合反向代理头（如 $_SERVER['HTTPS'] = 'on'）手动修正，否则会话 Cookie 被浏览器拒收

$_SESSION 写入后刷新页面仍为空（session_id() 不一致）

常见于未在脚本开头调用 session_start()，或在输出（包括空白符、BOM）之后调用；PHP 8.4 对输出缓冲更敏感，即使一个 UTF-8 BOM 也会导致 session header 发送失败，后续请求无法复用同一会话 ID。

• 确认所有 PHP 文件（含 include 的）都以 UFT-8 without BOM 编码保存
• 在 session_start() 前禁止任何输出：检查是否有 echo、var_dump、HTML 标签、甚至文件末尾多出的换行
• 使用 headers_sent($file, $line) 快速定位输出位置：

  if (headers_sent($file, $line)) {
      die("Headers already sent in $file on line $line");
  }

• 若用 Composer 自动加载，确保 vendor/autoload.php 不含 BOM 或意外输出（某些老旧包可能有）

Redis 或 Memcached 作为 session handler 时连接失败

PHP 8.4 默认禁用不安全的 session.save_handler 回退机制。若配置了 redis 但扩展未启用，或连接字符串格式错误（如漏掉 redis:// 前缀），PHP 不再自动降级到 files，而是直接拒绝启动会话。

立即学习“PHP免费学习笔记（深入）”；

• 确认扩展已加载：php -m | grep redis（或 memcached）
• 检查 session.save_path 格式是否符合 PHP 8.4 要求：
  – Redis：必须为 redis://127.0.0.1:6379?database=0（旧式 tcp:// 不再支持）
  – Memcached：必须为 127.0.0.1:11211（不支持空格或协议前缀）
• 测试连接是否可达：

  redis-cli -h 127.0.0.1 -p 6379 ping  # 应返回 PONG

• PHP 8.4 中 session.save_handler 值必须与扩展能力完全匹配，拼写错误（如 redsi）会导致静默失败而非报错提示

session 配置在 PHP 8.4 里不再是“设了就行”，每个环节都可能因安全强化而断裂；最常被忽略的是 save_path 权限和 cookie_params 的完整性校验，这两处出问题，连最基本的 $_SESSION['foo'] = 'bar' 都不会生效。