1. Cookie 是存储在客户端 内存 或者 硬盘(例如火狐把 Cookie 存储在 C:Documents and Settings用户名Application DataMozillaFirefoxProfiles随机目录cookies.sqlite)上的一小段数据,浏览器(客户端)通过 HTTP 协议和服务器进行 Cookie 交互,Cookie 是 HTTP 头的一部分。由于 HTTP 协议的 “无状态” 特性而不能识别请求是否来自同一个客户端,Cookie 就担负了在客户端存储数据并以此跟踪并识别用户的任务。
2. Cookie 由客户端 生成、使用、管理,服务器端实现与客户端之间的交互。
3. setcookie() (Send a cookie)语法格式:
bool setcookie(string $name [, string $value="" [, int $expire=0 [, string $path="" [, string $domain="" [, bool $secure=false [, bool $httponly=false]]]]]])
返回 false,表示设置 Cookie 失败;返回 true,表示 Cookie 设置成功。
Cookie 也可以通过 PHP 的 header() 方法设置,但一般不推荐这种设置方式:
header("Set-Cookie: name = $value [, path=$path [, ...]]");
4. setrawcookie():
说明: setrawcookie() 不会对 Cookie 中的 value 进行 urlencode 转码(Send a cookie without urlencoding the cookie value)。例如 setcookie
<?php header("Content-type:text/html;charset=utf-8"); setcookie('username','Tom&Jerry'); var_dump($_COOKIE);
浏览器输出及 HTTP 头信息如下:
setrawcookie
<?php header("Content-type:text/html;charset=utf-8"); setrawcookie('username','Tom&Jerry'); var_dump($_COOKIE);
浏览器输出及 HTTP 头信息如下:
5. Cookie 的 name
必选参数。 当使用 setrawcookie() 时,name 不能包含空格、分号、逗号和换行符,如果 name 中使用了空格或者分号,则会报一个 Warning 级别的错误,Cookie 设置不成功;当使用 setcookie() 时无限制。例如:
setcookie
<?php header("Content-type:text/html;charset=utf-8"); setcookie('username', 'death mask'); var_dump($_COOKIE);
输出及 HTTP 头信息:
setrawcookie
<?php header("Content-type:text/html;charset=utf-8"); var_dump(setrawcookie('username','death mask'));
输出:
如果 setcookie() 的参数只包含 name,则该 name 的 value 为空字符串,而 不会 删除该 Cookie;而把该 name 的 value 设为 false,则客户端 会 删除该 Cookie:
<?php header("Content-type:text/html;charset=utf-8"); setcookie('username'); var_dump($_COOKIE);
输出:
<?php header("Content-type:text/html;charset=utf-8"); setcookie('username', false); var_dump($_COOKIE);
输出:
因此在 Cookie 中保存 true 或 false 时不用改使用 bool 值,而应该使用 0 表示 false,1 表示 true。
6. cookie 的 value
原 Netscape 浏览器规定一个域名的每个 Cookie 整体的字节限制(包括 名字、过期时间和其他信息)为 4k。
7. Cookie 的 expire
Cookie 的过期时间,是从 GMT 时间 1970年 1 月 1 日 0 点到过期时间的秒数,单位为秒。例如过期时间为 time() + 3600 * 2 则表示 过期时间为 2 个小时。
例如过期时间为 2 分钟:
<?php $expire = time() + 120; setcookie('username', 'dee', $expire);
将 Cookie 的 expire 设置为小于客户端当前时间的值,会触发浏览器删除 Cookie:
<?php $expire = time() - 1; setcookie('username','dee', $expire); var_dump($_COOKIE);
输出:
如果没有设置过期时间,则浏览器会将 Cookie 存储到内存而不是硬盘,关闭浏览器 Cookie 即消失,例如:
<?php setcookie('username','dee'); var_dump($_COOKIE);
在 FireFox 41.02 下查看 Cookie:
5. Cookie 的 path
Cookie 的有效目录,默认是 当前页面。
例如:
在 127.0.0.17/index.php 下不指定 path 设置 Cookie:club=Arsenal;
在 127.0.0.17/php/cookie.php 下设置不指定 path 的 Cookie:username=Alexis Club=FCB 和 path = / 的 Cookie:number=17;
在 127.0.0.17/index.php、127.0.0.17/php/cookie.php 和 127.0.0.17/php/cookie_2.php 下分别读取 Cookie
127.0.0.17/index.php:
<?php setcookie('club', 'Arsenal'); var_dump($_COOKIE);
输出:
127.0.0.17/php/cookie.php
<?php setcookie('username', 'Alexis'); setcookie('club', 'FCB'); setcookie('number', 17, 0, '/'); var_dump($_COOKIE);
输出:
127.0.0.17/php/cookie_2.php
<?php var_dump($_COOKIE);
输出:
6. Cookie 的 domain
Cookie 的作用域名,默认是服务器的主机名。
7. Cookie 的 secure
是否对 Cookie 进行加密传输,默认为 false。如果设置为 true,只有当使用 HTTPS 时该 Cookie 才会被设置。
8. Cookie 的 httponly
是否只是用 HTTP 访问 Cookie,如果为 1 或 true,客户端 JavaScript 就无法操作 Cookie,可以减少 XSS 攻击。PHP 5.2.0 以上版本支持该参数。
9. PHP 在当前页设置的 Cookie 不能立即生效
要等到下一个页面才能看到。 是由于服务器在当前页通过 Set-Cookie 的 HTTP 响应头通知浏览器生成 Cookie,而该 Cookie 只能在下一次的 HTTP 请求中通过 Cookie 请求头传送给服务器。如果是客户端 JavaScript 创建的 Cookie,则立即就能在服务器段生效。
10. Cookie 是作为 HTTP 头响应头发送的,setcookie() 必须在生成文档主体前发送(即 setcookie() 必须在其他信息被输出到浏览器前调用)
说明:在 php 5.2 中,php.ini 中 output_buffering 的值默认是 off;在 php 5.3 及以后,该值默认为 on(默认是 4096 字节):
因此在 php 5.3 及之后的版本中(output_buffering = on 时),在 setcookie() 之前有输出是没有关系的,例如:
<?php echo 'hello world'; setcookie('username','dee');
浏览器的输出信息以及 HTTP 头信息如下:
如果 把 php.ini 中 output_buffering 的值设为 off ,或者在 setcookie() 前使用 ob_get_flush() 或 ob_end_clean() 关闭缓冲区,则会报一个 Warning 级别的错误,同时 cookie 设置不成功,例如:
<?php ob_get_flush(); echo 'hello world'; var_dump(setcookie('username','dee'));
浏览器的输出信息以及 HTTP 的头信息如下:
11. JavaScript / jQuery 操作 Cookie
JavaScript 设置 Cookie 可以参考:http://www.cnblogs.com/xiaochaohuashengmi/archive/2010/06/13/1757658.html
jQuery 设置 Cookie 可以参考: http://www.cnblogs.com/dee0912/p/4434684.html
12. Cookie 跨域与 P3P 协议
通常情况下 Cookie 只能在一个应用中共享。而实现 Cookie 跨域则一般是为了统一应用平台,实现单点登录。最简单的方式是使用 P3P 协议(Platform for Privacy Preference,隐私偏好设定平台)。
简单例子,两个域 127.0.0.17 ,包含文件 cookie_a.php、cookie_a_2.php ; 127.0.0.16,包含文件 cookie_b.php 和 cookie_check.php
说明:
cookie_a.php 用于调用 cookie_b.php,种下 Cookie:
<script src="http://127.0.0.16/cookie_b.php?id=10"></script>
cookie_a_2.php 用于实验对比,即不使用 P3P 协议,在 127.0.0.17 下设置 127.0.0.16 的 Cookie
<?php setcookie('id', 200, time() + 3600, '/');
cookie_b.php 用于使用 P3P 协议种下本域名下的 Cookie
<?php header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'); setcookie('id', $_GET['id'], time() + 3600, '/');
cookie_check.php 用于检测 127.0.0.16 下的 Cookie 是否设置成功
<?php var_dump($_COOKIE);
首先访问 127.0.0.17/cookie_a.php,产生了 2 个 HTTP 请求:
展开 HTTP 请求:
然后访问 127.0.0.16/cookie_check.php,查看 Cookie 是否设置成功:
已经设置成功。
作为比较,删除 127.0.0.16 下的 Cookie,然后访问 127.0.0.17/cookie_a_2.php,尝试不使用 P3P 协议设置 127.0.0.16 域下的 Cookie:
接着访问 127.0.0.16/cookie_check.php,查看 Cookie 是否设置成功:
不使用 P3P 协议是不能设置成功的。
13. Cookie 的使用场景
① (用户勾选)下次自动登录
思路:当用户勾选 “下次自动登录” 并且登录网站时,记录用户的用户名和一个(随机且唯一的)登录 token(不能记录密码) 到 Cookie 中,设置 Cookie 的过期时间(如一周),同时把 token 和过期时间存入数据库相应字段。当该用户下一次登录时可以判断当前 Cookie 中是否含有用户名,如果含有则检查 Cookie 中是否含有 token 并且判断和数据库中的 token 是否一致,如果一致且没有超过过期时间则直接登录,同时更新 Cookie 、数据库中的 token 和数据库中的过期时间。
当用户注销登陆时,则删除 Cookie 并且把数据库中的过期时间设为 0 。
② 用户没有登录网站时,把购物车中的商品存入 Cookie。当用户登录时,把 Cookie 中的商品保存至数据库。
更多单点登录相关可以参考:http://www.cnblogs.com/showker/archive/2010/01/21/1653332.html