setcookie() 必须在任何输出前调用,否则因响应头已发送而失败;$_COOKIE 不实时更新,新设 cookie 本次请求不可见;过期时间需传 time()+秒数的整型时间戳,非字符串;secure 和 httponly 影响安全与访问,path/domain 必须一致才能读取。
PHP 中 setcookie() 必须在任何输出之前调用
这是最常踩的坑:只要 echo、print、HTML 标签、甚至文件开头的 BOM 字节或空格,都会导致 setcookie() 失败且不报错,浏览器收不到 Set-Cookie 响应头。
- 检查 PHP 文件是否以
开头,前面**绝对不能有空格或换行** - 避免在
setcookie()前做任何echo、var_dump()、header()调用 - 调试时可用
headers_sent($file, $line)检查是否已输出:if (headers_sent($file, $line)) { die("Headers already sent in $file on line $line"); }
读取 cookie 时 $_COOKIE 是自动填充的,但不会实时更新
$_COOKIE 数组在脚本启动时就由请求头中的 Cookie 字段解析完成,后续用 setcookie() 设置的新 cookie **本次请求中不会出现在 $_COOKIE 里**,要等下一次请求才生效。
- 写入后立即想验证?别读
$_COOKIE['name'],直接用你刚赋的变量值 - 注意键名大小写敏感:
$_COOKIE['user_id']和$_COOKIE['USER_ID']是两个不同键 - 如果值是 URL 编码过的(比如含空格、中文),
$_COOKIE中已自动解码,无需再调用urldecode()
设置过期时间要用 time() + 秒数,不是时间戳字符串
setcookie() 第三个参数是 Unix 时间戳(整型),不是类似 "2025-12-31" 的字符串,传错会导致 cookie 立即过期或变成会话级 cookie。
- 正确写法:
setcookie('theme', 'dark', time() + 86400 * 30, '/', '', true, true); - 设为会话级(关闭浏览器即失效):第三个参数传
0或省略 - 想删除 cookie?把过期时间设为过去值,例如
time() - 3600,并确保 path/domain 与设置时一致
secure 和 httponly 参数影响安全性和可访问性
这两个布尔参数控制 cookie 的传输和 JS 访问权限,漏设或误设会引发安全风险或前端拿不到值。
巨人企业网站管理系统2.0
下载
巨人企业网站管理系统(jrcms)是由巨人工作室基于asp+access自主研发而成。巨人cms是中小型企业建站最佳系统,让传统企业快速在互联网赚钱。巨人cms系统简单容易好操作,直接把源码上传空间,后台可以控制前台,独立操作,人人都能建站系统栏目如下网站首页网站公告关于我们新闻资讯产品展示营销网络成功案例在线订单在线留言人才招聘联系我们后台地址admin后台账号和密码 admin wycg201
立即学习“PHP免费学习笔记(深入)”;
-
secure = true:仅通过 HTTPS 传输,HTTP 站点设为true就等于不发送 -
httponly = true:JS 无法通过document.cookie读取,防 XSS 窃取,但登录态、token 类 cookie 强烈建议开启 -
开发环境用 localhost 测试 HTTPS?Chrome 对
localhost允许securecookie,但 Safari 不一定,建议开发时先设false,上线前再改
实际使用中,最容易被忽略的是 path 和 domain 的一致性——设置时用了 /admin/,读取时却在根目录下查 $_COOKIE,结果为空;或者子域名设置时没指定 domain='.example.com',导致 www 和 api 子域之间无法共享。这些细节不报错,只静默失败。
