(PHP 4, PHP 5, PHP 7)
setcookie — Sendet ein Cookie
$name
[, string $value
[, int $expire = 0
[, string $path
[, string $domain
[, bool $secure = false
[, bool $httponly = false
]]]]]] )setcookie() definiert ein mit den HTTP Header-Informationen zu übertragendes Cookie. Wie andere Header auch, müssen Cookies vor jeglicher Ausgabe Ihres Skriptes gesendet werden (dies ist eine Einschränkung des Protokolls). Das bedeutet, dass Sie diese Funktion aufrufen müssen, bevor Sie eine Ausgabe, dazu zählen auch <html>- oder <head>-Tags sowie jede Art von Whitespaces, übermitteln.
Sind die Cookies einmal gesetzt, können Sie beim nächsten Seitenaufruf anhand der $_COOKIE oder $HTTP_COOKIE_VARS Arrays auf diese zugreifen. Beachten Sie, dass die Superglobals wie $_COOKIE seit PHP 4.1.0 verfügbar sind. Die Cookie-Werte stehen auch in $_REQUEST.
Alle Argumente außer name sind optional. Sie können
ein Argument auch mit einem leeren String ("")
ersetzen, wenn Sie es übergehen wollen. Da der
expire-Parameter einen Integer-Wert darstellt, kann
er nicht durch die Angabe eines Leerstrings übersprungen werden, verwenden
Sie daher statt dessen die Null (0).
» RFC 6265 liefert die normative Referenz wie die jeweiligen setcookie() Parameter interpretiert werden.
nameDer Name des Cookies.
value
Der Wert des Cookies. Dieser Wert wird auf dem Computer des Benutzers
gespeichert, speichern Sie deshalb darin keine sensiblen Informationen.
Angenommen der Parameter name ist 'cookiename',
so erhält man seinen Wert mittels $_COOKIE['cookiename'].
expireDer Zeitpunkt, an dem das Cookie ungültig wird. Dies ist ein Unix Timestamp, also die Anzahl Sekunden seit Beginn der Epoche. Mit anderen Worten, Sie werden diesen Wert wahrscheinlich mittels der Funktion time() plus der Anzahl Sekunden bis zum gewünschten Ablauf des Cookies setzen. Sie könnten aber auch mktime() verwenden. time()+60*60*24*30 wird das Cookie in 30 Tagen ablaufen lassen. Hat der Parameter den Wert 0 oder ist er nicht gesetzt, verfällt das Cookie am Ende der Session (wenn der Browser geschlossen wird).
Hinweis:
Beachten Sie, dass der
expire-Parameter einen Unix-Timestamp enthält, im Gegensatz zum Datumsformat Wdy, DD-Mon-YYYY HH:MM:SS GMT. Die Konvertierung wird von PHP intern durchgeführt.
path
Der Pfad auf dem Server, für welchen das Cookie verfügbar sein wird.
Ist er auf '/' gesetzt, wird das Cookie innerhalb
der gesamten domain verfügbar. Ist er auf
'/foo/' gesetzt, wird das Cookie nur innerhalb des
Verzeichnisses /foo/ sowie allen Unterverzeichnissen
wie z.B. /foo/bar/ der domain
verfügbar. Der Standardwert ist das aktuelle Verzeichnis, in dem das
Cookie gesetzt wurde.
domainDie Domain, der das Cookie zur Verfügung steht. Wird die Domain auf 'www.example.com' gesetzt, ist das Cookie in der www Subdomain und in höheren Subdomains verfügbar. Cookies die in einer niedrigeren Subdomain verfügbar sind, wie 'example.com', sind in höheren Subdomains verfügbar, wie 'www.example.com'. Ältere Browser, die noch immer das veraltete » RFC 2109 implementieren, können ein führendes . benötigen, um alle Subdomains abzudecken.
secure
Gibt an, dass das Cookie vom Client nur über eine sichere
HTTPS-Verbindung übertragen werden soll. Ist der Wert auf TRUE
gesetzt, wird das Cookie nur gesendet, wenn eine sichere Verbindung
besteht. Auf der Serverseite muss der
Programmierer selbst darauf achten, dass entsprechende Cookies über
eine sichere Verbindung gesendet werden (z.B. unter Berücksichtigung
von $_SERVER["HTTPS"]).
httponly
Wenn auf TRUE gesetzt, ist das Cookie nur via HTTP-Protokoll
zugreifbar. Das bedeutet, dass das Cookie nicht mehr für Skriptsprachen
wie JavaScript auslesbar/veränderbar ist. Diese Einstellung kann
eine effektive Hilfe sein, um Identitätsdiebstahl per XSS-Angriff
zu vermindern (allerdings wird dies nicht von allen Browsern
unterstützt). Hinzugefügt in PHP 5.2.0.
TRUE oder FALSE
Erfolgt eine Ausgabe vor dem Aufruf dieser Funktion, wird
setcookie() fehlschlagen und FALSE zurückgeben. Wenn
setcookie() erfolgreich durchgeführt wird, wird TRUE
zurückgegeben. Dies sagt jedoch nichts darüber aus, ob der Benutzer das
Cookie auch akzeptiert hat.
Einige Beispiele, wie Cookies gesetzt werden:
Beispiel #1 setcookie()-Beispiele:
<?php
$value = 'irgendetwas von irgendwo';
setcookie("TestCookie", $value);
setcookie("TestCookie", $value, time()+3600); /* verfällt in 1 Stunde */
setcookie("TestCookie", $value, time()+3600, "/~rasmus/", "example.com", 1);
?>
Beachten Sie, dass der Wertebereich des Cookies automatisch URL-konform kodiert (urlencoded) wird, sobald Sie das Cookie senden, und es beim Erhalt automatisch dekodiert und einer Variablen zugewiesen wird, die den selben Namen wie das Cookie trägt. Wenn Sie dies nicht möchten, können Sie stattdessen setrawcookie() verwenden, wenn sie PHP 5 nutzen. Um die Inhalte unseres Test-Cookies in einem Skript sichtbar zu machen, verwenden Sie einfach eines der folgenden Beispiele:
<?php
// ein bestimmtes Cookie ausgeben
echo $_COOKIE["TestCookie"];
echo $HTTP_COOKIE_VARS["TestCookie"];
// Ein anderer Weg zu Debuggen/Testen ist, alle Cookies anzuzeigen
print_r($_COOKIE);
?>
Beispiel #2 setcookie()-Beispiele zum Löschen
Beim Löschen eines Cookies sollten Sie sicherstellen, dass das Verfallsdatum in der Vergangenheit liegt, um den Mechanismus zum Löschen des Cookies im Browser auszulösen. Die folgenden Beispiele zeigen, wie die im vorigen Beispiel gesendeten Cookies wieder gelöscht werden:
<?php
// Setzen des Verfalls-Zeitpunktes auf 1 Stunde in der Vergangenheit
setcookie ("TestCookie", "", time() - 3600);
setcookie ("TestCookie", "", time() - 3600, "/~rasmus/", "example.com", 1);
?>
Beispiel #3 setcookie() und Arrays
Sie können auch ein Array von Cookies setzen, in dem Sie die Array-Schreibweise im Cookienamen verwenden. Dadurch werden so viele Cookies gesetzt, wie Ihr Array Elemente hat. Sobald das Cookie aber von Ihrem Skript gelesen wird, werden alle Werte in ein einziges Array mit dem Cookienamen eingelesen:
<?php
// Setzen der Cookies
setcookie ("cookie[three]", "cookiethree");
setcookie ("cookie[two]", "cookietwo");
setcookie ("cookie[one]", "cookieone");
// Nach dem Neuladen der Seite wieder ausgeben
if (isset($_COOKIE['cookie'])) {
foreach ($_COOKIE['cookie'] as $name => $value) {
$name = htmlspecialchars($name);
$value = htmlspecialchars($value);
echo "$name : $value <br />\n";
}
}
?>
Das oben gezeigte Beispiel erzeugt folgende Ausgabe:
three : cookiethree two : cookietwo one : cookieone
| Version | Beschreibung |
|---|---|
| 5.5.0 | Ein Max-Age Attribut ist nun im Set-Cookie Header, der an den Client gesendet wird, enthalten. |
| 5.2.0 |
Der httponly-Parameter wurde hinzugefügt.
|
Hinweis:
Sie können den Ausgabepuffer verwenden, um Ausgaben vor dem Aufruf dieser Funktion duchführen zu können. Dies hat allerdings zur Folge, dass alle Ihre Ausgaben zum Browser am Server zwischengespeichert werden, bis Sie diese senden. Sie können dies in Ihrem Skript mittels der Funktionen ob_start() und ob_end_flush() oder mittels der Konfigurationseinstellung output_buffering in Ihrer php.ini mitteilen, oder Sie ändern entsprechende Konfigurationseinstellungen am Server.
Hinweis:
Ist die PHP-Direktive register_globals auf on gesetzt, stehen die Cookies auch als eigene Variablen zur Verfügung. In den nachstehenden Beispielen wird $TextCookie also existieren. Es ist jedoch dringend empfohlen, $_COOKIE zu verwenden.
Häufige Probleme:
expire
gesetzt. Eine gute Möglichkeit, die Existenz von Cookies zu prüfen, ist
einfach print_r($_COOKIE); aufzurufen.
FALSE und alle anderen Werte entsprechen dem früheren Aufruf von
setcookie, wird das Cookie mit dem angegebenen Namen vom Client gelöscht.
Die wird intern ausgeführt, indem der Wert auf 'deleted' und die
Verfallszeit auf ein Jahr in der Vergangenheit gesetzt wird.
FALSE versucht wird, das
entsprechende Cookie zu löschen, sollten Sie keine boolschen Werte
verwenden. Nutzen Sie statt dessen 0 für FALSE
und 1 für TRUE.
Mehrfache Aufrufe von setcookie() werden in der Reihenfolge ihres Aufrufs ausgeführt.