PHP Cookie（长文解析）

💡一则或许对你有用的小广告

欢迎加入小哈的星球 ，你将获得：专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

• 新项目:《从零手撸：仿小红书（微服务架构）》 正在持续爆肝中，基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...，点击查看项目介绍 ;演示链接： http://116.62.199.48:7070 ;
• 《从零手撸：前后端分离博客项目（全栈开发）》 2 期已完结，演示链接： http://116.62.199.48/ ;

截止目前， 星球 内专栏累计输出 90w+ 字，讲解图 3441+ 张，还在持续爆肝中.. 后续还会上新更多项目，目标是将 Java 领域典型的项目都整一波，如秒杀系统, 在线商城, IM 即时通讯，权限管理，Spring Cloud Alibaba 微服务等等，已有 3100+ 小伙伴加入学习 ，欢迎点击围观

前言：PHP Cookie 的核心作用与价值

在 Web 开发领域，PHP Cookie 是一种轻量级但至关重要的技术工具。它允许开发者在用户浏览器中存储少量数据，从而实现个性化体验、会话保持等功能。对于编程初学者而言，理解 PHP Cookie 的工作原理与应用场景，不仅能提升对 HTTP 协议的认知，还能为后续学习 Session、Web 安全等进阶内容打下基础。中级开发者则可以通过深入 Cookie 的细节优化应用性能，例如通过合理设置过期时间、加密存储等手段提升用户体验与系统安全性。

本文将从 Cookie 的基础概念出发，结合代码示例与生活化比喻，逐步讲解其核心知识点。通过实际案例的演示，帮助读者掌握如何在 PHP 项目中安全有效地使用 Cookie，同时对比 Session 的差异，明确两者在不同场景下的最佳实践。

一、Cookie 的基础概念与工作原理

1.1 什么是 Cookie？

Cookie 是一种由服务器发送给浏览器的键值对（Key-Value）数据，存储在用户的设备上。当用户再次访问网站时，浏览器会自动将 Cookie 信息附加到 HTTP 请求头中，从而让服务器能够识别用户身份或读取存储的信息。

生活化比喻：
可以将 Cookie 想象为餐厅服务员给常客的“便签条”。当用户首次访问网站时，服务器会像服务员一样写下“您喜欢的座位是靠窗”这样的信息，贴在用户的“浏览器便签本”上。下次用户再来时，服务员通过查看便签本，就能立即提供个性化服务。

1.2 Cookie 的核心特性

• 客户端存储：数据保存在用户浏览器中，减轻服务器负担。
• 轻量级：单个 Cookie 的大小通常限制为 4KB，所有 Cookie 总和不超过 300 个。
• HTTP 依赖：仅在 HTTP 协议中有效，无法直接用于其他协议。
• 有效期控制：通过设置过期时间，Cookie 可以是临时性的或长期存储的。

1.3 Cookie 的生命周期

Cookie 的生命周期由 Expires 或 Max-Age 参数决定：

• 临时 Cookie：未设置过期时间时，Cookie 仅在浏览器会话期间有效，关闭浏览器后自动删除。
• 持久 Cookie：通过设置过期时间（如 30 天），Cookie 会持续存在直至时间到达或手动清除。

二、PHP 中 Cookie 的设置与读取

2.1 设置 Cookie 的核心函数：setcookie()

在 PHP 中，setcookie() 函数用于创建或更新 Cookie。其基本语法如下：

setcookie(
    name,      // Cookie 的名称（键）
    value,     // Cookie 的值（内容）
    expires,   // 过期时间（Unix 时间戳）
    path = "/", // 有效路径（默认根路径）
    domain = "", // 有效域名（默认当前域名）
    secure = false, // 是否仅通过 HTTPS 传输
    httponly = false // 禁用 JavaScript 访问
);

关键参数说明：

• expires：若设置为 time() + 86400，则 Cookie 有效期为 1 天。
• httponly：启用后，JavaScript 无法通过 document.cookie 读取该 Cookie，有效防范 XSS 攻击。

示例代码：

// 设置一个有效期为 7 天的 Cookie，存储用户偏好主题颜色
$color = "blue";
$expiration = time() + (7 * 24 * 60 * 60); // 7 天后过期
setcookie("user_theme", $color, $expiration, "/");

2.2 读取与删除 Cookie

PHP 通过 $_COOKIE 超全局数组读取 Cookie 值。删除 Cookie 时，需将其过期时间设置为过去的 Unix 时间戳。

// 读取用户主题颜色
if (isset($_COOKIE["user_theme"])) {
    echo "您选择的主题颜色是：" . htmlspecialchars($_COOKIE["user_theme"]);
}

// 删除用户主题颜色 Cookie
setcookie("user_theme", "", time() - 3600, "/");

三、Cookie 的安全性与最佳实践

3.1 安全风险与防范措施

Cookie 的数据存储在客户端，存在以下风险：

• XSS 攻击：恶意脚本可能窃取 Cookie 内容。
• 数据篡改：用户可能手动修改 Cookie 值。
• 信息泄露：未加密的敏感数据（如登录凭证）可能被截获。

防御策略：

• 启用 httponly：防止 JavaScript 访问。
• 加密存储：对敏感数据进行哈希或加密（如使用 openssl_encrypt()）。
• 避免存储敏感信息：密码、身份证号等应通过服务器 Session 存储。

3.2 过期时间与域的精细化控制

• 路径限制：通过 path 参数仅允许特定子路径访问 Cookie，例如 /admin/。
• 域名限制：通过 domain 参数控制跨子域访问，例如 .example.com 可让所有子域访问。
• HTTPS 强制：在 secure 参数设为 true 时，Cookie 仅通过 HTTPS 传输。

四、PHP Cookie 的实际应用案例

4.1 案例 1：用户偏好设置

需求：允许用户自定义网站主题颜色，并在下次访问时自动加载。

实现步骤：

1. 提供颜色选择按钮，提交后通过 PHP 设置 Cookie。
2. 页面加载时读取 Cookie，动态应用 CSS 样式。

<!-- 颜色选择表单 -->
<form method="post">
    <input type="radio" name="theme" value="red"> 红色
    <input type="radio" name="theme" value="green"> 绿色
    <input type="submit" value="保存">
</form>

<?php
// 处理表单提交并设置 Cookie
if ($_SERVER["REQUEST_METHOD"] === "POST") {
    $theme = $_POST["theme"];
    setcookie("user_theme", $theme, time() + 3600 * 24 * 30, "/");
}
?>

4.2 案例 2：单页浏览统计

需求：统计用户在当前页面的访问次数，无需登录即可记录。

实现代码：

// 读取现有浏览次数或初始化为 0
$count = isset($_COOKIE["page_views"]) ? $_COOKIE["page_views"] + 1 : 1;

// 更新 Cookie 值
setcookie("page_views", $count, time() + 3600 * 24, "/");

echo "您已访问本站 " . $count . " 次";

五、Cookie 与 Session 的对比分析

选择建议：

• 当需要持久化存储用户偏好或轻量数据时，优先使用 Cookie。
• 涉及敏感信息或需要服务器端控制时，应选择 Session。

六、进阶技巧与常见问题解答

6.1 Cookie 的多值存储技巧

若需存储多个值（如用户姓名和邮箱），可将数据序列化后存储：

// 存储
$user_data = ["name" => "Alice", "email" => "alice@example.com"];
setcookie("user_profile", serialize($user_data), time() + 86400);

// 读取并反序列化
if (isset($_COOKIE["user_profile"])) {
    $profile = unserialize($_COOKIE["user_profile"]);
    echo "欢迎 " . htmlspecialchars($profile["name"]);
}

6.2 时区问题的解决方案

由于 time() 返回的是服务器本地时间，需确保服务器时区设置正确：

date_default_timezone_set("Asia/Shanghai"); // 设置时区为上海
$expiration = time() + 86400; // 24 小时后过期

结论：掌握 PHP Cookie 的关键点

通过本文的讲解，读者应已掌握 PHP Cookie 的核心概念、设置方法及安全实践。关键要点总结如下：

1. 理解 Cookie 的客户端存储特性，合理控制数据大小与有效期。
2. 善用 setcookie() 参数，通过 httponly 和 secure 增强安全性。
3. 结合实际案例，如用户偏好设置或浏览统计，灵活应用 Cookie 的轻量级优势。
4. 明确 Cookie 与 Session 的适用场景，根据需求选择最佳技术方案。

在后续开发中，建议读者通过以下方式深化学习：

• 阅读 PHP 官方文档中关于 setcookie() 的详细说明。
• 尝试实现一个包含加密功能的 Cookie 认证系统。
• 对比分析其他语言（如 JavaScript）的 Cookie 操作方式。

通过持续实践与理论结合，PHP Cookie 将成为你 Web 开发工具箱中不可或缺的高效工具。