Объясните тупому про sessions

Хотелось бы понять ваш опус, но честно непонятно совсем.

session_start() -  создаёт сессию, либо возобновляет существующую, основываясь на идентификаторе сессии, переданном через GET- или POST-запрос, либо переданный через cookie (из документации)

до вызова session_start массив $_SESSION пуст. Вы можете стартовать сессию только по условию, условием будет ваше определение реального юзера (только не в массиве $_SESSION)

Массив в памяти. Но файл сессии-то есть. Я тоже понять не могу, согласен :-) , поэтому и прошу объяснить. 

Не нужны сессии? Странное желание.

Да, сажается кука с именем PHPSESSID по умолчанию. Но у роботов ПС куки не запрещены, они ходят реальными браузерами.

Кроме  session_start(), в целях защиты ID сессии от перехвата, может вызываться  session_regenerate_id , которая гененерирует новый ID сессии (создает новый файл сессии).  При этом ID старой сессии (файл сессии на диске сервера) может не уничтожаться немедленно, а храниться некоторое время (там по ссылке есть пример реализации и объяснение почему так делается). При некорректной реализации, ПС может нагенерить тонну сессий.

Пока не запустите  session_start(); , массив $_SESSION[] не будет заполнен. Его заполняет именно  session_start();  (читает файл сессии на сервере и иниализирует из него этот массив)

Вы просто используете сессии не по назначению. Сессия должна стартоваться только для авторизованных(залогиненных) посетителей - для этого при авторизации посетителю садится кука (например, Login_Name=Вася), и если браузер присылает эту куку - значит посетитель уже ранее логинился на сайт, и ему стартуется сессия. Если прислан корректный PHPSESSID , то из сессии (файла на сервере с именем из  PHPSESSID) поднимаются данные идентификации посетителя, что он навыбирал себе в корзину, и тп.

Вы же храните в сессии данные (выбранные товары в корзине) для любых неавторизованных посетителей, а это надо делать в куках или localStorage. Тогда не придётся стартовать сессию ботам и всяким случайным посетителям.

С минимальными переделками сайта - можно садить посетителю специальную куку типа basket=1, если он выбрал что-либо в корзину. Тогда на сервере проверяете isset($_COOKIE['basket']), и если она установлена - вызываете session_start(). У ботов ПС этой куки не будет, ибо они ничего в корзину не выбирают.

Да, я это понимаю. Но переделывать это очень сложно. Вот и леплю костыли.

Это я тоже понимаю. Вопрос в том - можно ли ДО  session_start(); понять что сессия данного посетителя существует? Я бы делал эту проверку, и тогда бы обходил 

$path = $_SERVER['DOCUMENT_ROOT'].'/sessions/'.$_SERVER['HTTP_HOST'];
if (!is_dir($path)) {
        $path = $_SERVER['DOCUMENT_ROOT'].'/sessions/bots';
}
if (isset($_SERVER['HTTP_USER_AGENT'])) {
        if (!is_bool(stripos($_SERVER['HTTP_USER_AGENT'], 'bot')) || 
            !is_bool(stripos($_SERVER['HTTP_USER_AGENT'], 'spider')) ||
            !is_bool(stripos($_SERVER['HTTP_USER_AGENT'], 'Slurp')) ||
            !is_bool(stripos($_SERVER['HTTP_USER_AGENT'], 'crawler')) ||
            !is_bool(stripos($_SERVER['HTTP_USER_AGENT'], 'Uptime')) ||
            !is_bool(stripos($_SERVER['HTTP_USER_AGENT'], 'facebook'))) {
                $path = $_SERVER['DOCUMENT_ROOT'].'/sessions/bots';
        }
}
ini_set('session.save_path', $path);

при каждом хите...

Не очень точно выразился:

хочу чтобы у реального юзера не запускался процесс  ini_set('session.save_path', $path); ЕСЛИ ЭТО НЕ ПЕРВЫЙ ХИТ.

Так, сам острю - сам смеюсь. У меня всегда так - пока тут (или не тут, но тут позориться не так страшно) пишу, приходит в голову такая редкость, как умная мысль...

1. При каждом хите идет обращение к index.php и это всегда как в первый раз, тут ниче не попишешь, Апач или Нгинкс (уж не знаю кто) не может знать прошлого... 

2. Соответственно при каждом хите session.save_path дефолтный, а именно /var/www/user/data/tmp если панель ISPmanager (всеми силами стараюсь слезть с этой иглы) или FastPanel (отличная штука). И без ini_set('session.save_path', $path); ничего не поделать.

3. Чтобы избежать при каждом хите if (юзерагент?){$path} + ini_set('session.save_path', $path);  что я и хочу - юзать (неправильно мною используемые) сессии нельзя, так как массив $_SESSION[] пуст до session_start();  , а чтение из файла получается сложно и медленно.

4. Рабочий вариант должен быть такой: писать в куки скажем либо безликое $sesspath = 1(2,3,4,...) получаемое при первом хите и при всех хитах читать его и if(!$sesspath) { if (юзерагент?){$path} + ini_set('session.save_path', $path); } либо писать туда сразу весь  $path но мне кажется это не принято, так как в юзера в куках будет уже не безликая информация, а конкретика.

5. П.4 не должен сбоить, ибо если умерла кука у юзера, то и корзина обнулилась и вообще шефвсепропало.

6. Бонусная игра: а может вообще еще и  session_start();  заменить на if(! $_SESSION[]){ session_start(); } раз пошла такая пьянь??? UPD: не имеет смысла, так как повторный вызов ничего не делает, а варнинги у меня отключены.

Скажите мне, я мегахакер или опять что не понял?

)

Интересно что за магазин, где пользователи возвращаются к корзине через некоторое время.

Мне когда-то также не хотелось переделывать свои несколько сайтов с php 5 на следующую версию, так как нужно было изменить и доступ к базе данных и некоторые модули не работали. Но просто сел и переделал по правильному. Может и Вам переделать на нормальную логику, как писали выше?

Просто решил заняться какой-то фигнёй, от нефигделать.

У меня время жизни корзины - год. Возврат к корзине через месяц - не редкость. Иногда возвращаются даже больше, чем через год. Правда такие случаи исчезающие редки.