php通过setcookie()设置cookie需在输出前调用,读取用$_cookie数组,更新即重设同名cookie,删除需设过期时间为过去值,应启用secure、httponly、samesite等安全属性,特殊字符值可用setrawcookie()避免url编码。
如果您希望用户在访问PHP网站时保持登录状态或保存某些偏好设置,则可以利用Cookie在客户端存储少量数据。以下是PHP中Cookie设置与应用的具体步骤:
一、使用setcookie()函数设置Cookie
PHP通过setcookie()函数向客户端发送HTTP Set-Cookie响应头,从而创建Cookie。该函数必须在任何输出(包括空格和换行)发送到浏览器之前调用。
1、确保PHP脚本顶部没有任何HTML输出、echo语句或空白字符。
2、调用setcookie()函数,传入名称、值、过期时间、路径、域名、安全标志及HttpOnly标志参数。
立即学习“PHP免费学习笔记(深入)”;
3、例如:setcookie("username", "zhangsan", time() + 3600, "/", "example.com", true, true);
4、设置后,Cookie将在下一次请求时通过$_COOKIE超全局数组可用。
二、读取Cookie中的用户信息
客户端每次向服务器发起请求时,若存在匹配的Cookie,浏览器会自动将其包含在HTTP请求头中。PHP将这些值解析并存入$_COOKIE数组,供脚本直接访问。
1、检查$_COOKIE数组中是否存在指定键名,例如if (isset($_COOKIE['username']))。
2、获取对应值:$user = $_COOKIE['username'];
3、对读取的值进行过滤处理,如使用htmlspecialchars()防止XSS输出。
4、可结合session_start()与Cookie联合验证用户身份状态。
三、更新与删除Cookie
更新Cookie本质是重新发送同名Set-Cookie头;删除则需设置过期时间为过去的时间点,使浏览器立即丢弃该条目。
1、更新Cookie:再次调用setcookie(),使用相同名称但新值与新过期时间。
2、删除Cookie:调用setcookie("username", "", time() - 3600, "/", "example.com", true, true);
3、注意路径(path)和域名(domain)参数必须与原始设置完全一致,否则无法覆盖或清除。
4、删除操作不会影响当前请求中的$_COOKIE数组,仅对后续请求生效。
四、设置安全属性防止Cookie被窃取
为降低Cookie被中间人攻击或跨站脚本窃取的风险,应启用Secure、HttpOnly和SameSite等关键安全属性。
1、Secure属性确保Cookie仅通过HTTPS传输:必须部署SSL证书后才启用。
2、HttpOnly属性阻止JavaScript访问Cookie,防范XSS盗用:setcookie("token", $val, $expires, "/", "", true, true);
3、SameSite属性控制跨站请求是否携带Cookie,推荐设为Strict或Lax:setcookie("session_id", $id, $exp, "/", "", true, true);
4、PHP 7.3+支持在php.ini中统一配置session.cookie_samesite=Lax,但手动setcookie仍需显式传参。
五、使用setrawcookie()避免URL编码干扰
当Cookie值中包含特殊字符(如空格、斜杠、等号)时,setcookie()会自动进行URL编码,可能导致读取时解析异常。此时应改用setrawcookie()跳过编码步骤。
1、确认Cookie值不含控制字符且已由应用层完成必要转义。
2、调用setrawcookie("data", "value with space&symbol", time()+86400, "/");
3、读取时$_COOKIE["data"]将返回原始未解码字符串,无需urldecode()处理。
4、若值来自不可信输入,务必先过滤再使用setrawcookie()。
