Cookie 簡介

1. Cookie是儲存在客戶端瀏覽器中的資料，我們通過Cookie來跟蹤與儲存使用者資料。

2. 一般情況下，Cookie通過HTTP headers從服務端返回到客戶端。多數web程式都支援Cookie的操作，因為Cookie是存在於HTTP的標頭之中，所以必須在其他資訊輸出以前進行設定，類似於header函式的使用限制。

3. PHP通過 setcookie 函式進行Cookie的設定，任何從瀏覽器發回的Cookie，PHP都會自動的將他儲存在 $_COOKIE 的全域性變數之中，因此我們可以通過 $_COOKIE[‘key’] 的形式來讀取某個Cookie值。

4. PHP中的Cookie具有非常廣泛的使用，經常用來儲存使用者的登入資訊，購物車等，且在使用會話Session時通常使用Cookie來儲存會話id來識別使用者，Cookie具備有效期，當有效期結束之後，Cookie會自動的從客戶端刪除。同時為了進行安全控制，Cookie還可以設定域跟路徑。

setcookie('test', time());

ob_start(); // 開啟輸出控制緩衝
print_r($_COOKIE); 

$content = ob_get_contents(); // 複製緩衝區內容到$content中
$content = str_replace(" ", ' ', $content);

// 清空（擦掉）輸出緩衝區
ob_clean();

header("content-type:text/html; charset=utf-8");

echo '當前的Cookie為：<br>';
echo nl2br($content
 
); // nl2br 在字串所有新行之前插入 HTML 換行標記 <br>

setcookie()

setcookie() 函式向客戶端傳送一個 HTTP cookie。cookie 是由伺服器傳送到瀏覽器的變數。

註釋：可以通過 $_COOKIE[“user”] 來訪問名為 “user” 的 cookie 的值。

setrawcookie()

PHP中還有一個設定Cookie的函式setrawcookie

setrawcookie跟setcookie基本一樣，唯一的不同就是value的值不會自動進行 URL 編碼，因此在需要的時候要手動的進行urlencode。

setrawcookie('cookie_name', rawurlencode($value), time()+60*60*24*365); 

header()

因為Cookie是通過HTTP標頭進行設定的，所以也可以直接使用header方法進行設定。

header("Set-Cookie:cookie_name=value");

刪除 Cookie

在PHP中刪除cookie也是採用 setcookie 函式來實現。

原理：將cookie的過期時間設定到當前時間之前，則該cookie會自動失效，也就達到了刪除cookie的目的。

setcookie('test', '', time()-1); 

也可以直接通過header來刪除cookie。

header("Set-Cookie:test=1393832059; expires=".gmdate('D, d M Y H:i:s \G\M\T', time()-1));

Cookie 的有效路徑

cookie 中的路徑用來控制設定的cookie在哪個路徑下有效，預設為’/’，在所有路徑下都有。

// 使test在/path以及子路徑/path/abc下都有效，但是在根目錄下就讀取不到test的cookie值。
setcookie('CookieName', 'CookieValue', time() + 3600, '/path');

session與cookie的異同

cookie將資料儲存在客戶端，建立起使用者與伺服器之間的聯絡，通常可以解決很多問題，但是cookie仍然具有一些侷限：

1. cookie相對不是太安全，容易被盜用導致cookie欺騙

2. 單個cookie的值最大隻能儲存4k，每次請求都要進行網路傳輸，佔用頻寬

3. 使用者資訊既可以儲存在sessioin中，也可以儲存在cookie中，他們之間的差別在於session可以方便的存取多種資料型別，而cookie只支援字串型別，同時對於一些安全性比較高的資料，cookie需要進行格式化與加密儲存，而session儲存在服務端則安全性較高。

session 簡介

1. session是將使用者的會話資料儲存在服務端，沒有大小限制

2. 通過一個session_id進行使用者識別，PHP預設情況下session id是通過cookie來儲存的，因此從某種程度上來說，seesion依賴於cookie。

3. 但這不是絕對的，session id也可以通過引數來實現，只要能將session id傳遞到服務端進行識別的機制都可以使用session。

// 建立一個 session
session_start();
$_SESSION['sessionName'] = 'sessionValue';
echo "session_id:".session_id(); // 顯示當前的session_id
echo "<br>";

// 讀取 session 的值
echo $_SESSION['sessionName'];

//銷燬一個session
unset($_SESSION['sessionName']);
echo "<br>";
var_dump($_SESSION);

session會自動的對要設定的值進行encode與decode，因此session可以支援任意資料型別，包括資料與物件等。

session_start();
$_SESSION['ary'] = array('name' => 'jobs');
$_SESSION['obj'] = new stdClass();
var_dump($_SESSION);

// unset($_SESSION['ary']);
// unset($_SESSION['obj']);

刪除 session

刪除某個session值可以使用 unset() 函式

如果要刪除所有的session，可以使用 session_destroy() 函式，但是 session_id 仍然存在。

值得注意的是，session_destroy() 並不會立即的銷燬全域性變數SESSION中的值，只有當下次再訪問的時候，_SESSION才為空，因此如果需要立即銷燬$_SESSION，可以使用unset函式。

擴充套件：

預設情況下，session是以檔案形式儲存在伺服器上的，因此當一個頁面開啟了session之後，會獨佔這個session檔案，這樣會導致當前使用者的其他併發訪問無法執行而等待。可以採用快取或者資料庫的形式儲存來解決這個問題

如果需要銷燬session_id，通常在使用者退出的時候可能會用到，則還需要顯式的呼叫setcookie方法刪除session_id的cookie值。

綜合案例 - 儲存使用者的登入資訊

// 建立 session
session_start();

//假設使用者登入成功獲得了以下使用者資料
$userinfo = array(
    'uid'  => 10000,
    'name' => 'spark',
    'email' => '[email protected]',
    'sex'  => 'man',
    'age'  => '18'
);

header("content-type:text/html; charset=utf-8");

// 將使用者資訊儲存到session中
$_SESSION['uid'] = $userinfo['uid'];
$_SESSION['name'] = $userinfo['name'];
$_SESSION['userinfo'] = $userinfo;

// 將使用者資料儲存到cookie中的一個簡單方法 -- 加密
$secureKey = 'imooc'; //加密金鑰
$str = serialize($userinfo); //將使用者資訊序列化
$str = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($secureKey), $str, MCRYPT_MODE_ECB));
echo "加密後的使用者資訊：<br>";
print_r($str . '<br>');

//將加密後的使用者資料儲存到cookie中
setcookie('userinfo', $str);

// 當需要使用時進行 -- 解密
$str = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, md5($secureKey), base64_decode($str), MCRYPT_MODE_ECB);
$uinfo = unserialize($str);
echo "解密後的使用者資訊：<br>";
print_r($uinfo);