PHP如何设置和获取Cookie_PHP中Cookie的设置与读取操作详解

在PHP中，设置Cookie主要依赖

setcookie()

$_COOKIE

解决方案

PHP中对Cookie的设置与读取操作，本质上就是围绕

setcookie()

$_COOKIE

设置Cookie

要设置一个Cookie，我们使用

setcookie()

setcookie()

echo

立即学习“PHP免费学习笔记（深入）”；

<?php
// 示例1: 设置一个简单的会话Cookie，浏览器关闭即失效
setcookie("username", "JohnDoe");

// 示例2: 设置一个持久化Cookie，3600秒（1小时）后过期
// time() 返回当前Unix时间戳，加上要持续的秒数
setcookie("user_pref", "dark_mode", time() + 3600);

// 示例3: 设置一个更复杂的Cookie，指定路径、域、安全性和HttpOnly
// name: Cookie的名称
// value: Cookie的值
// expires: 过期时间（Unix时间戳）。0表示会话Cookie
// path: Cookie在服务器上的可用路径。'/'表示整个域
// domain: Cookie的有效域。空字符串表示当前域
// secure: 仅在HTTPS连接时发送Cookie
// httponly: 阻止JavaScript访问Cookie，增强安全性
// samesite: 跨站请求策略，'Lax', 'Strict', 'None'
setcookie(
    "session_id",
    "some_long_random_string",
    [
        'expires' => time() + (86400 * 30), // 30天后过期
        'path' => '/',                     // 整个站点可用
        'domain' => '.example.com',        // 适用于example.com及其所有子域
        'secure' => true,                  // 仅通过HTTPS发送
        'httponly' => true,                // 阻止JavaScript访问
        'samesite' => 'Lax'                // 默认的跨站请求策略
    ]
);

// 此时，如果后面有任何输出，会抛出"Headers already sent"的警告
// echo "Cookie已设置";
?>

我个人在使用

setcookie()

httponly

secure

获取Cookie

一旦Cookie被设置并由浏览器发送回来，我们就可以通过PHP的

$_COOKIE

$_COOKIE

<?php
// 确保在访问前检查Cookie是否存在，避免Undefined index错误
if (isset($_COOKIE['username'])) {
    $username = $_COOKIE['username'];
    echo "欢迎回来，" . htmlspecialchars($username) . "！<br>";
} else {
    echo "您还没有设置用户名Cookie。<br>";
}

if (isset($_COOKIE['user_pref'])) {
    $user_pref = $_COOKIE['user_pref'];
    echo "您的用户偏好是：" . htmlspecialchars($user_pref) . "<br>";
}

// 访问我们之前设置的session_id
if (isset($_COOKIE['session_id'])) {
    echo "您的会话ID是：" . htmlspecialchars($_COOKIE['session_id']) . "<br>";
}
?>

我发现，很多初学者容易忘记检查

isset($_COOKIE['name'])

删除Cookie

要删除一个Cookie，我们实际上是设置一个同名Cookie，但将其过期时间设置为过去的一个时间点（例如

time() - 3600

path

domain

<?php
// 删除名为 'username' 的Cookie
setcookie("username", "", time() - 3600);

// 删除一个更复杂的Cookie时，需要确保path和domain一致
setcookie(
    "session_id",
    "", // 值可以为空
    [
        'expires' => time() - 3600,        // 设置为过去的时间
        'path' => '/',                     // 必须与原Cookie的path一致
        'domain' => '.example.com',        // 必须与原Cookie的domain一致
        'secure' => true,                  // 必须与原Cookie的secure一致
        'httponly' => true,                // 必须与原Cookie的httponly一致
        'samesite' => 'Lax'                // 必须与原Cookie的samesite一致
    ]
);
echo "Cookie已尝试删除。<br>";
?>

删除Cookie时，最常见的错误就是

path

domain

PHP Cookie的生命周期与作用域如何理解？

理解Cookie的生命周期和作用域对于有效管理用户数据至关重要，它直接影响着Cookie何时可用、在哪里可用以及能持续多久。这不仅仅是技术细节，更是设计用户体验和安全策略的基础。

生命周期 (Expires)

Cookie的生命周期由

setcookie()

expires

• 会话Cookie（Session Cookie）：当我们不设置

  expires

  参数，或者将其设置为

  0

  时，这个Cookie就是一个会话Cookie。这意味着它会在用户关闭浏览器时自动删除。这种Cookie常用于存储临时的会话信息，比如用户登录状态（通常是会话ID），一旦浏览器关闭，会话就结束了。我认为，对于那些不需要长期记住用户的信息，或者对安全性要求较高的临时状态，会话Cookie是首选。
• 持久化Cookie（Persistent Cookie）：如果

  expires

  参数被设置为未来的某个时间戳，那么Cookie就会在用户的硬盘上存储，直到达到这个过期时间，或者用户手动清除它。例如，

  time() + 86400 * 30

  会将Cookie设置为30天后过期。这种Cookie常用于“记住我”功能、用户偏好设置或跟踪分析。我个人觉得，虽然方便用户，但持久化Cookie也增加了被窃取的风险，所以存储在其中的信息需要格外谨慎。

过期时间是相对服务器时间的。如果客户端时间不准确，可能会导致Cookie行为异常，但这通常不是我们开发者需要直接处理的问题，浏览器会负责管理。

作用域 (Path & Domain)

Cookie的作用域决定了哪些URL路径和哪些域名可以访问到这个Cookie。这是控制Cookie可见性和安全性的重要机制。

• 路径 (Path)：

  path

  参数指定了Cookie在服务器上的哪个路径下是可用的。

  • path = '/'

    (默认值)：Cookie对整个域名下的所有路径都可用。这是最常见的设置，也是我个人最常使用的，因为它最简单，能确保Cookie在整个站点范围内都有效。

  • path = '/blog/'

    ：Cookie只在

    /blog/

    及其子路径下可用（例如

    /blog/post1

    ）。这意味着访问

    /about/

    页面的请求将不会携带这个Cookie。
  • 如果未明确设置

    path

    ，它会默认为设置Cookie的当前脚本所在的目录。这有时会导致意想不到的问题，比如你在

    /admin/

    下设置的Cookie，在

    /

    主页就无法访问了。所以我建议，除非有特殊需求，否则最好明确设置为

    '/'

    。

• 域 (Domain)：

  domain

  参数指定了Cookie对哪个域名是可用的。

  • domain = 'example.com'

    ：Cookie对

    example.com

    以及所有子域（如

    www.example.com

    ,

    blog.example.com

    ）都可用。请注意，这里需要以点开头，如

    .example.com

    ，才能包含所有子域。如果只写

    example.com

    ，某些浏览器可能只会将其视为精确匹配，不包括子域。
  • 如果未明确设置

    domain

    ，它会默认为设置Cookie的当前域名，且不包含子域。这意味着在

    www.example.com

    上设置的Cookie，在

    blog.example.com

    上是不可用的。
  • 需要注意的是，你不能为一个与你当前域名无关的域名设置Cookie，这是一种安全限制。例如，在

    example.com

    上，你不能设置一个

    domain='google.com'

    的Cookie。

我发现，很多时候开发者会忽略

path

domain

在PHP中处理Cookie时，有哪些常见的安全陷阱和最佳实践？

Cookie虽然方便，但由于其客户端存储和自动发送的特性，也带来了不少安全隐患。作为开发者，我们必须清醒地认识这些陷阱，并采取相应的最佳实践来加固防线。我个人觉得，安全问题往往不是代码写得多复杂，而是对基础安全原则的理解和坚持。

常见的安全陷阱

1. 跨站脚本攻击 (XSS)：这是最常见的Cookie安全问题之一。如果你的网站存在XSS漏洞，攻击者可以注入恶意JavaScript代码。
   • 陷阱：如果Cookie没有设置

     httponly

     标志，恶意JavaScript就可以直接访问并窃取用户的会话Cookie，从而劫持用户会话。想象一下，如果一个攻击者拿到了你的登录会话ID，他就能以你的身份登录网站，这非常危险。
2. 跨站请求伪造 (CSRF)：攻击者诱骗用户在不知情的情况下，向目标网站发送一个恶意请求。
   • 陷阱：如果你的网站没有采取CSRF防护措施（例如Token），并且Cookie是自动随请求发送的，那么用户的浏览器在访问恶意网站时，可能会自动携带你的网站的会话Cookie，从而执行攻击者预设的操作（如修改密码、转账等）。
3. 中间人攻击 (MITM)：在用户和服务器之间的通信过程中，攻击者拦截并篡改数据。
   • 陷阱：如果Cookie没有设置

     secure

     标志，并且你的网站通过HTTP（而非HTTPS）传输，那么Cookie在传输过程中是明文的，攻击者可以轻易截获并读取其中的敏感信息。
4. 在Cookie中存储敏感数据：有些开发者为了方便，会直接在Cookie中存储用户的用户名、密码（即使是加密的）、个人信息等。
   • 陷阱：Cookie是存储在用户客户端的，即使加密，也总有被破解的风险。更何况，一旦Cookie被窃取，攻击者就可能获取到这些信息。
5. 会话劫持与会话固定：
   • 陷阱：如果会话ID是可预测的，或者在用户登录前就分配了会话ID，攻击者可以尝试固定这个ID，并在用户登录后使用它来劫持会话。

最佳实践

1. 始终使用

   httponly

   标志：
   • 实践：在

     setcookie()

     函数中，将

     httponly

     参数设置为

     true

     。这将阻止客户端JavaScript访问Cookie，从而大大降低XSS攻击窃取会话Cookie的风险。这是我个人认为最重要的一个安全设置，几乎所有会话Cookie都应该启用它。

   • setcookie('session_id', $value, ['httponly' => true, ...]);

2. 始终使用

   secure

   标志：
   • 实践：当你的网站使用HTTPS时（现代Web开发中这应该是标配），将

     secure

     参数设置为

     true

     。这会强制浏览器只在通过HTTPS连接发送Cookie，防止Cookie在不安全的HTTP连接中被截获。

   • setcookie('session_id', $value, ['secure' => true, ...]);

3. 实施

   SameSite

   策略：
   • 实践：

     SameSite

     属性可以有效防御CSRF攻击。它有三个值：

     • Lax

       (默认值)：在跨站请求中，只有GET请求且是顶级导航（比如用户点击链接跳转）时才会发送Cookie。对于POST请求或其他非顶级导航，Cookie不会发送。这是大多数情况下的推荐设置，因为它在提供安全性的同时，对用户体验影响最小。

     • Strict

       ：只有在同站请求中才会发送Cookie。任何跨站请求（包括用户点击链接跳转）都不会发送Cookie。安全性最高，但可能会影响一些正常的跨站交互（如从第三方网站跳转回你的网站后需要重新登录）。

     • None

       ：在所有跨站请求中都会发送Cookie。但必须同时设置

       secure

       标志，否则浏览器会拒绝设置该Cookie。这通常用于需要跨站发送Cookie的场景，例如第三方嵌入式内容。
   • 我通常会从

     Lax

     开始，根据实际需求再考虑

     Strict

     或

     None

     。

   • setcookie('session_id', $value, ['samesite' => 'Lax', ...]);

4. Cookie中只存储非敏感数据或标识符：
   • 实践：永远不要在Cookie中直接存储用户的密码、信用卡号或任何其他敏感的个人信息。如果必须存储，也只应存储一个安全的、随机生成的会话ID或令牌。这些ID或令牌在服务器端映射到真正的用户数据。这样，即使Cookie被窃取，攻击者也只能拿到一个ID，而不是直接的敏感信息。
5. 定期轮换会话ID：
   • 实践：在用户登录成功后，重新生成一个新的会话ID，并废弃旧的会话ID。这可以有效防止会话固定攻击。PHP的

     session_regenerate_id(true)

     函数就是为此设计的。
6. 对来自Cookie的数据进行验证和净化：
   • 实践：任何来自客户端的数据，包括Cookie，都应该被视为不可信的。在应用程序中使用Cookie中的数据之前，务必进行严格的输入验证、净化和转义，以防止注入攻击（如SQL注入、XSS）。例如，使用

     htmlspecialchars()

     来输出Cookie值。

我认为，安全是一个持续的过程，没有一劳永逸的解决方案。我们作为开发者，需要时刻保持警惕，并不断学习和应用最新的安全实践。

如何在现代Web开发中更优雅地管理PHP Cookie？

在现代Web开发中，我们不再仅仅停留在

setcookie()

$_COOKIE

框架与库的抽象

几乎所有现代PHP框架，如Laravel、Symfony、Yii等，都提供了对Cookie和会话管理的抽象层。我个人非常推荐使用这些框架提供的功能，而不是直接操作

setcookie()

• 简化API：框架通常会提供更简洁、更易读的API来设置、获取和删除Cookie，例如Laravel的

  response()->cookie()

  方法。
• 默认安全配置：这些框架的Cookie管理通常会默认启用

  httponly

  、

  secure

  和

  SameSite

  等重要安全标志，省去了我们手动配置的麻烦，也降低了因疏忽而导致安全漏洞的风险。
• 会话管理集成：Cookie与会话管理紧密结合。框架的会话管理功能通常基于Cookie（存储会话ID），但实际会话数据存储在服务器端（文件、数据库、Redis等），这是一种更安全的处理敏感数据的方式。通过框架的会话机制，我们只需操作

  $_SESSION

  ，而无需直接干预会话Cookie的设置。

例如，在Laravel中，设置一个Cookie可能只需：

// 设置一个Cookie
return response('Hello World')->cookie(
    'name', 'value', $minutes = 60, $path = '/', $domain = null, $secure = true, $httpOnly = true, $raw = false, $sameSite = 'Lax'
);

// 获取Cookie
$value = request()->cookie('name');

这种方式显然比直接调用

setcookie()

HttpOnly与Secure的默认化

我坚信，对于任何涉及用户认证或敏感数据的Web应用，

httponly

secure

• httponly

  ：防止XSS攻击窃取会话Cookie。