PHP如何用Cookie记住用户

本文深入讲解了PHP中如何安全、规范地使用Cookie来记住用户状态或保存偏好设置，涵盖从基础的setcookie()设置与$_COOKIE读取，到更新删除机制、关键安全属性（Secure/HttpOnly/SameSite）的启用，再到处理特殊字符的setrawcookie()进阶用法；内容强调实践细节——如必须在任何输出前调用、路径与域名参数需严格一致、防范XSS和CSRF攻击等，为开发者提供一套兼顾功能性与安全性的Cookie应用完整指南。

如果您希望用户在访问PHP网站时保持登录状态或保存某些偏好设置，则可以利用Cookie在客户端存储少量数据。以下是PHP中Cookie设置与应用的具体步骤：

一、使用setcookie()函数设置Cookie

PHP通过setcookie()函数向客户端发送HTTP Set-Cookie响应头，从而创建Cookie。该函数必须在任何输出（包括空格和换行）发送到浏览器之前调用。

1、确保PHP脚本顶部没有任何HTML输出、echo语句或空白字符。

2、调用setcookie()函数，传入名称、值、过期时间、路径、域名、安全标志及HttpOnly标志参数。

3、例如：setcookie("username", "zhangsan", time() + 3600, "/", "example.com", true, true);

4、设置后，Cookie将在下一次请求时通过$_COOKIE超全局数组可用。

二、读取Cookie中的用户信息

客户端每次向服务器发起请求时，若存在匹配的Cookie，浏览器会自动将其包含在HTTP请求头中。PHP将这些值解析并存入$_COOKIE数组，供脚本直接访问。

1、检查$_COOKIE数组中是否存在指定键名，例如if (isset($_COOKIE['username']))。

2、获取对应值：$user = $_COOKIE['username'];

3、对读取的值进行过滤处理，如使用htmlspecialchars()防止XSS输出。

4、可结合session_start()与Cookie联合验证用户身份状态。

三、更新与删除Cookie

更新Cookie本质是重新发送同名Set-Cookie头；删除则需设置过期时间为过去的时间点，使浏览器立即丢弃该条目。

1、更新Cookie：再次调用setcookie()，使用相同名称但新值与新过期时间。

2、删除Cookie：调用setcookie("username", "", time() - 3600, "/", "example.com", true, true);

3、注意路径（path）和域名（domain）参数必须与原始设置完全一致，否则无法覆盖或清除。

4、删除操作不会影响当前请求中的$_COOKIE数组，仅对后续请求生效。

四、设置安全属性防止Cookie被窃取

为降低Cookie被中间人攻击或跨站脚本窃取的风险，应启用Secure、HttpOnly和SameSite等关键安全属性。

1、Secure属性确保Cookie仅通过HTTPS传输：必须部署SSL证书后才启用。

2、HttpOnly属性阻止JavaScript访问Cookie，防范XSS盗用：setcookie("token", $val, $expires, "/", "", true, true);

3、SameSite属性控制跨站请求是否携带Cookie，推荐设为Strict或Lax：setcookie("session_id", $id, $exp, "/", "", true, true);

4、PHP 7.3+支持在php.ini中统一配置session.cookie_samesite=Lax，但手动setcookie仍需显式传参。

五、使用setrawcookie()避免URL编码干扰

当Cookie值中包含特殊字符（如空格、斜杠、等号）时，setcookie()会自动进行URL编码，可能导致读取时解析异常。此时应改用setrawcookie()跳过编码步骤。

1、确认Cookie值不含控制字符且已由应用层完成必要转义。

2、调用setrawcookie("data", "value with space&symbol", time()+86400, "/");

3、读取时$_COOKIE["data"]将返回原始未解码字符串，无需urldecode()处理。

4、若值来自不可信输入，务必先过滤再使用setrawcookie()。

终于介绍完啦！小伙伴们，这篇关于《PHP如何用Cookie记住用户》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！