(PHP 4, PHP 5, PHP 7)
setcookie — Sendet ein Cookie
$name
[, string $value
= ""
[, int $expires
= 0
[, string $path
= ""
[, string $domain
= ""
[, bool $secure
= FALSE
[, bool $httponly
= FALSE
]]]]]] ) : bool$name
[, string $value
= ""
[, array $options
= []
]] ) : bool
setcookie() definiert ein mit den HTTP
Header-Informationen zu übertragendes Cookie. Wie andere Header auch,
müssen Cookies vor jeglicher Ausgabe Ihres Skriptes
gesendet werden (dies ist eine Einschränkung des Protokolls). Das bedeutet,
dass Sie diese Funktion aufrufen müssen, bevor Sie eine Ausgabe, dazu
zählen auch <html>
- oder
<head>
-Tags sowie jede Art von Whitespaces,
übermitteln.
Sind die Cookies einmal gesetzt, können Sie beim nächsten Seitenaufruf anhand des $_COOKIE Arrays auf diese zugreifen. Die Cookie-Werte können auch in $_REQUEST vorhanden sein.
» RFC 6265 liefert die normative Referenz wie die jeweiligen setcookie() Parameter interpretiert werden.
name
Der Name des Cookies.
value
Der Wert des Cookies. Dieser Wert wird auf dem Computer des Benutzers
gespeichert, speichern Sie deshalb darin keine sensiblen Informationen.
Angenommen der Parameter name
ist 'cookiename',
so erhält man seinen Wert mittels $_COOKIE['cookiename'].
expires
Der Zeitpunkt, an dem das Cookie ungültig wird. Dies ist ein Unix
Timestamp, also die Anzahl Sekunden seit Beginn der Epoche. Mit anderen
Worten, Sie werden diesen Wert wahrscheinlich mittels der Funktion
time() plus der Anzahl Sekunden bis zum gewünschten
Ablauf des Cookies setzen. Sie könnten aber auch mktime()
verwenden.
time()+60*60*24*30
wird das Cookie in 30 Tagen
ablaufen lassen. Hat der Parameter den Wert 0 oder ist er nicht
gesetzt, verfällt das Cookie am Ende der Session (wenn der Browser
geschlossen wird).
Hinweis:
Beachten Sie, dass der
expires
-Parameter einen Unix-Timestamp enthält, im Gegensatz zum DatumsformatWdy, DD-Mon-YYYY HH:MM:SS GMT
. Die Konvertierung wird von PHP intern durchgeführt.
path
Der Pfad auf dem Server, für welchen das Cookie verfügbar sein wird.
Ist er auf '/'
gesetzt, wird das Cookie innerhalb
der gesamten domain
verfügbar. Ist er auf
'/foo/'
gesetzt, wird das Cookie nur innerhalb des
Verzeichnisses /foo/
sowie allen Unterverzeichnissen
wie z.B. /foo/bar/
der domain
verfügbar. Der Standardwert ist das aktuelle Verzeichnis, in dem das
Cookie gesetzt wurde.
domain
Die (Sub)-Domain, der das Cookie zur Verfügung steht. Wird dies auf eine
Subdomain (wie 'www.example.com'
) gesetzt, dann steht
dieser Subdomain und allen anderen Subdomains davon (z.B.
w2.www.example.com) das Cookie zur Verfügung. Um das Cookie der ganzen
Domain zur Verfügung zu stellen (einschließlich aller Subdomains davon),
muss der Wert einfach auf den Domainnamen (in diesem Fall
'example.com'
) gesetzt werden.
Ältere Browser, die noch immer das veraltete
» RFC 2109 implementieren, können
ein führendes .
benötigen, um alle Subdomains
abzudecken.
secure
Gibt an, dass das Cookie vom Client nur über eine sichere
HTTPS-Verbindung übertragen werden soll. Ist der Wert auf TRUE
gesetzt, wird das Cookie nur gesendet, wenn eine sichere Verbindung
besteht. Auf der Serverseite muss der
Programmierer selbst darauf achten, dass entsprechende Cookies über
eine sichere Verbindung gesendet werden (z.B. unter Berücksichtigung
von $_SERVER["HTTPS"]).
httponly
Wenn auf TRUE
gesetzt, ist das Cookie nur via HTTP-Protokoll
zugreifbar. Das bedeutet, dass das Cookie nicht mehr für Skriptsprachen
wie JavaScript auslesbar/veränderbar ist. Diese Einstellung kann
eine effektive Hilfe sein, um Identitätsdiebstahl per XSS-Angriff
zu vermindern (allerdings wird dies nicht von allen Browsern
unterstützt). Hinzugefügt in PHP 5.2.0.
TRUE
oder FALSE
options
Ein assoziatives Array, das die Schlüssel
expires
, path
, domain
,
secure
, httponly
und samesite
enthalten kann.
Ist irgendein anderer Schlüssel vorhanden, wird ein Fehler der Stufe
E_WARNING
generiert.
Die Werte haben dieselbe Bedeutung wie für die gleichnamigen
Parameter beschrieben. Der Wert des samesite
Elements
sollte entweder None
, Lax
oder Strict
sein.
Ist eine der erlaubten Optionen nicht angegeben, dann ist ihr Standardwert
derselbe wie für den expliziten Parameter. Wird das samesite
Element nicht angegeben, dann wird kein SameSite-Cookie-Attribute gesetzt.
Erfolgt eine Ausgabe vor dem Aufruf dieser Funktion, wird
setcookie() fehlschlagen und FALSE
zurückgeben. Wenn
setcookie() erfolgreich durchgeführt wird, wird TRUE
zurückgegeben. Dies sagt jedoch nichts darüber aus, ob der Benutzer das
Cookie auch akzeptiert hat.
Einige Beispiele, wie Cookies gesetzt werden:
Beispiel #1 setcookie()-Beispiele:
<?php
$value = 'irgendetwas von irgendwo';
setcookie("TestCookie", $value);
setcookie("TestCookie", $value, time()+3600); /* verfällt in 1 Stunde */
setcookie("TestCookie", $value, time()+3600, "/~rasmus/", "example.com", 1);
?>
Beachten Sie, dass der Wertebereich des Cookies automatisch URL-konform kodiert (urlencoded) wird, sobald Sie das Cookie senden, und es beim Erhalt automatisch dekodiert und einer Variablen zugewiesen wird, die den selben Namen wie das Cookie trägt. Wenn Sie dies nicht möchten, können Sie stattdessen setrawcookie() verwenden, wenn sie PHP 5 nutzen. Um die Inhalte unseres Test-Cookies in einem Skript sichtbar zu machen, verwenden Sie einfach eines der folgenden Beispiele:
<?php
// ein bestimmtes Cookie ausgeben
echo $_COOKIE["TestCookie"];
// Ein anderer Weg zu Debuggen/Testen ist, alle Cookies anzuzeigen
print_r($_COOKIE);
?>
Beispiel #2 setcookie()-Beispiele zum Löschen
Beim Löschen eines Cookies sollten Sie sicherstellen, dass das Verfallsdatum in der Vergangenheit liegt, um den Mechanismus zum Löschen des Cookies im Browser auszulösen. Die folgenden Beispiele zeigen, wie die im vorigen Beispiel gesendeten Cookies wieder gelöscht werden:
<?php
// Setzen des Verfalls-Zeitpunktes auf 1 Stunde in der Vergangenheit
setcookie("TestCookie", "", time() - 3600);
setcookie("TestCookie", "", time() - 3600, "/~rasmus/", "example.com", 1);
?>
Beispiel #3 setcookie() und Arrays
Sie können auch ein Array von Cookies setzen, in dem Sie die Array-Schreibweise im Cookienamen verwenden. Dadurch werden so viele Cookies gesetzt, wie Ihr Array Elemente hat. Sobald das Cookie aber von Ihrem Skript gelesen wird, werden alle Werte in ein einziges Array mit dem Cookienamen eingelesen:
<?php
// Setzen der Cookies
setcookie ("cookie[three]", "cookiethree");
setcookie ("cookie[two]", "cookietwo");
setcookie ("cookie[one]", "cookieone");
// Nach dem Neuladen der Seite wieder ausgeben
if (isset($_COOKIE['cookie'])) {
foreach ($_COOKIE['cookie'] as $name => $value) {
$name = htmlspecialchars($name);
$value = htmlspecialchars($value);
echo "$name : $value <br />\n";
}
}
?>
Das oben gezeigte Beispiel erzeugt folgende Ausgabe:
three : cookiethree two : cookietwo one : cookieone
Version | Beschreibung |
---|---|
7.3.0 |
Eine alternative Signatur, die ein options Array
unterstützt, wurde hinzugefügt. Diese Signatur unterstützt ebenfalls das
Setzen des SameSite-Cookie-Attributs.
|
5.5.0 | Ein Max-Age Attribut ist nun im Set-Cookie Header, der an den Client gesendet wird, enthalten. |
5.2.0 |
Der httponly -Parameter wurde hinzugefügt.
|
Hinweis:
Sie können den Ausgabepuffer verwenden, um Ausgaben vor dem Aufruf dieser Funktion duchführen zu können. Dies hat allerdings zur Folge, dass alle Ihre Ausgaben zum Browser am Server zwischengespeichert werden, bis Sie diese senden. Sie können dies in Ihrem Skript mittels der Funktionen ob_start() und ob_end_flush() oder mittels der Konfigurationseinstellung
output_buffering
in Ihrer php.ini mitteilen, oder Sie ändern entsprechende Konfigurationseinstellungen am Server.
Hinweis:
Ist die PHP-Direktive register_globals auf
on
gesetzt, stehen die Cookies auch als eigene Variablen zur Verfügung. In den nachstehenden Beispielen wird $TextCookie also existieren. Es ist jedoch dringend empfohlen, $_COOKIE zu verwenden.
Häufige Probleme:
expires
gesetzt. Eine gute Möglichkeit, die Existenz von Cookies zu prüfen, ist
einfach print_r($_COOKIE);
aufzurufen.
FALSE
und alle anderen Werte entsprechen dem früheren Aufruf von
setcookie, wird das Cookie mit dem angegebenen Namen vom Client gelöscht.
Die wird intern ausgeführt, indem der Wert auf 'deleted' und die
Verfallszeit auf ein Jahr in der Vergangenheit gesetzt wird.
FALSE
versucht wird, das
entsprechende Cookie zu löschen, sollten Sie keine boolschen Werte
verwenden. Nutzen Sie statt dessen 0 für FALSE
und 1 für TRUE
.
Mehrfache Aufrufe von setcookie() werden in der Reihenfolge ihres Aufrufs ausgeführt.