出力バッファリングを行えば、session_start();や cookie発行などheader設定はいつでも行えるようになる機能は元から備わっています。 設定が変わったというなら、たぶん、php.ini の多バイト文字関連の以下の設定でしょう。 output_handler = mb_output_handler defaultは、ブランクなので、ブランクのままでは、phpソースの文字コードと異なる文字コードで出力するためのmb_http_output() が動作しません。 output_handlerは、バッファーに出力情報をため込んで、最後に、mb_output_handlerなどの関数をとおして変換をかけ、それからまずheader情報送信して、次にページ内容送信を行います。よって、出力バッファリングが常に行われることになります。 CLIのときは、読み込むphp.iniが異なって、上記バッファリングは無効なのでしょう。 一応、phpinfo() での設定を見比べてみるのが良いと思います。

session_start()後に formが来ているので 「たまたま」trans_sid が有効に働いているだけでしょう。試しにformを出力後に session_start()してみて下さい。Cookieも発行できないので動作しないかと。 あるいは use_only_cookiesがOnの場合どうなるか、考えるまでもなく・・・。 seseion_start前に「出力してはいけない」というよりも、たぶん設定次第でどうなるか分からない、動作は保証されない、ということでは?