php cookie怎么设置_setcookie函数参数含义与用法说明【说明】

setcookie() 必须在任何输出前调用，因它发送 HTTP 头；若已输出则报错“headers already sent”。推荐 PHP 7.3+ 数组参数形式，删除 Cookie 需设过期时间并匹配原 path/domain，$_COOKIE 不会实时更新。

setcookie 函数必须在任何输出之前调用

PHP 的 setcookie() 是一个 HTTP 头部函数，它向客户端发送 Set-Cookie 响应头。一旦有任意输出（包括空格、换行、HTML、echo、print 甚至 BOM 字节），PHP 就无法再修改响应头，此时调用 setcookie() 会失败，并触发警告：Warning: Cannot modify header information - headers already sent。

• 检查 PHP 文件开头是否有 UTF-8 BOM（可用编辑器如 VS Code 切换 编码 为“UTF-8 without BOM”）
• 确保 setcookie() 调用前没有 echo、var_dump()、print_r() 或 HTML 标签
• 如果逻辑上必须先处理数据再设 Cookie，可启用输出缓冲：ob_start() 放在脚本最开头

setcookie 参数详解：第 3–7 个参数常被忽略但关键

setcookie() 完整签名是：setcookie(string $name, string $value = '', array|int $options = []): bool（PHP 7.3+ 推荐数组形式）；旧式写法支持 7 个参数，但第 3–7 个位置参数易出错且已不推荐。

• $name：Cookie 名，不能含空格或分号，建议只用字母、数字、下划线
• $value：值，** 自动 URL 编码 **（空格变 +，特殊字符变 %xx），读取时 PHP 自动解码，无需手动 urlencode()
• $expires_or_options：PHP 7.3+ 强烈建议传数组，例如：

  setcookie('theme', 'dark', [     'expires' => time() + 86400,     'path' => '/admin/',     'domain' => '.example.com',     'secure' => true,     'httponly' => true,     'samesite' => 'Strict' ]);

• 旧式第 3 参数是过期时间戳（秒级 Unix 时间），设为 0 表示会话 Cookie（关闭 浏览器 即失效）
• path 控制 Cookie 发送范围，默认 '/'；设为 '/admin/' 则仅 /admin/xxx 及其子路径能访问该 Cookie
• domain 需带前导点号（如 '.example.com'）才允许子域名共享；设为 'example.com' 或留空则仅当前主机生效
• secure 为 true 时，Cookie 仅通过 HTTPS 传输；HTTP 环境下设为 true 将导致 Cookie 不被发送
• httponly 为 true 可防止 JS 读取（document.cookie 看不到），防御 XSS 窃取
• samesite 推荐显式设为 'Lax'（默认行为，防 CSRF 且兼容大部分场景）或 'Strict'（更严，但可能影响跨站跳转）

删除 Cookie 的正确方式不是传空值

删除 Cookie 实际上是「覆盖一个已过期的同名 Cookie」。常见错误是：setcookie('user_id', '') —— 这只是把值设为空字符串，Cookie 依然存在且有效。

• 正确做法：设置 expires 为过去的时间（如 time() - 3600），并保持 path 和 domain 与原设置完全一致
• 例如原 Cookie 是：setcookie('token', 'abc123', ['path' => '/api/', 'domain' => '.site.com'])，则删除需：

  setcookie('token', '', ['expires'=> time() - 3600,'path'=>'/api/','domain'=>'.site.com']);

• 若不确定原 path 或 domain，可尝试多组组合（path='/'、domain 留空等），但最稳妥的是记录原始配置

$_COOKIE 是请求开始时的快照，设完不能立刻读

$_COOKIE 数组在 PHP 脚本启动时从当前 HTTP 请求头中一次性读取，后续调用 setcookie() ** 不会更新 ** $_COOKIE。这意味着：

立即学习“PHP 免费学习笔记（深入）”；

• setcookie('lang', 'zh'); 之后立即 echo $_COOKIE['lang']; 仍为空或旧值
• 要验证设置是否成功，只能在下一次请求中检查 $_COOKIE
• 如需当前脚本内“模拟”读取，可手动赋值：$_COOKIE['lang'] = 'zh';（仅用于逻辑暂存，不影响实际 Cookie 行为）
• 调试时可用浏览器开发者 工具（Application → Cookies）确认是否收到 Set-Cookie 头及内容

Cookie 的安全性与路径 / 域 / 标志的匹配粒度密切相关，漏掉一个 path 或写错 domain 都会导致设而不用或删而不净。