Они должны быть одинаковыми, но может случиться так, что у вас установлен «безопасный» бит в куки-файлах сеанса PHP.Это означает, что cookie-файл сеанса будет отправляться только при наличии SSL-соединения.Смотрите session_set_cookie_params для получения дополнительной информации.
Помните всю проблему Facebook / Firesheep ?Короче говоря: ваши сеансы могут быть уязвимы для перехвата сеансов, если вы разрешаете пользователям переключаться с HTTPS на HTTP при входе в систему. Возможно, вы на самом деле не хотите делать это.Таким образом, вы захотите установить флаг «secure» для вашего куки-файла сессии, используя session_set_cookie_params ().Обходной путь для вошедших в систему пользователей состоит в том, чтобы устанавливать простой (с установленным в качестве флага безопасности значение false) cookie-файл всякий раз, когда пользователь входит в систему, просто содержащий флаг "user_was_logged_in".Затем добавьте код, который ищет этот файл cookie, и, когда он его находит, он просто перенаправляет пользователя обратно на HTTPS-версию сайта.
Убедитесь, что ваш пользователь не может случайно удалить его.вернуться в HTTP, когда на HTTPS, когда делаешь деликатные вещи.Если они это сделают, они должны быть отправлены обратно на сайт HTTPS, прежде чем перейти к или обработать запрос.