【PHP8.x】setcookie()関数の使い方

Copy
1<?php
2
3/**
4 * setcookie() 関数を使用して、異なるパスでクッキーを設定する例です。
5 *
6 * クッキーの 'path' オプションは、クッキーが有効になるサーバー上のパスを指定します。
7 * - '/' を指定すると、ドメイン全体のすべてのパスでクッキーが利用可能です。
8 * - '/app/' のように特定のパスを指定すると、そのパスとサブディレクトリでのみクッキーが利用可能です。
9 *
10 * このスクリプトは単体で動作し、HTTPヘッダとしてクッキーをブラウザに送信します。
11 * スクリプト実行後、ブラウザの開発者ツールでクッキーの情報を確認できます。
12 * setcookie() はHTTPヘッダを送信するため、いかなるHTML出力よりも前に呼び出す必要があります。
13 */
14function demonstrateSetcookieWithPath(): void
15{
16    // --- 特定のパス (/app/) で有効なクッキーの設定 ---
17
18    // クッキー名
19    $cookieNameForApp = "app_feature_setting";
20    // クッキー値
21    $cookieValueForApp = "enabled";
22    // 有効期限: 現在から1時間後 (Unixタイムスタンプ)
23    $expiresForApp = time() + 3600;
24    // パス: このクッキーは /app/ ディレクトリとそのサブディレクトリでのみ有効です。
25    // 例: http://yourdomain.com/app/index.php や http://yourdomain.com/app/settings/page.php
26    $pathForApp = "/app/";
27
28    // setcookie() の第3引数でオプション配列を使用する (PHP 7.3 以降推奨)
29    $success1 = setcookie(
30        $cookieNameForApp,
31        $cookieValueForApp,
32        [
33            'expires'  => $expiresForApp,  // クッキーの有効期限
34            'path'     => $pathForApp,     // クッキーが有効なパス
35            'domain'   => '',              // 空文字で現在のドメインに自動設定
36            'secure'   => false,           // HTTPS接続でない場合は false
37            'httponly' => true,            // JavaScriptからのアクセスを禁止 (セキュリティ強化)
38            'samesite' => 'Lax'            // CSRF対策として推奨 (PHP 7.3 以降)
39        ]
40    );
41
42    // --- ドメイン全体 (/) で有効なクッキーの設定 ---
43
44    // クッキー名
45    $cookieNameForRoot = "user_session_id";
46    // クッキー値
47    $cookieValueForRoot = "session_abcdef123";
48    // 有効期限: 現在から2時間後
49    $expiresForRoot = time() + 7200;
50    // パス: このクッキーはドメイン全体 ('/' はドメインのルートパスを意味します) で有効です。
51    // 例: http://yourdomain.com/index.php や http://yourdomain.com/another_page.php
52    $pathForRoot = "/";
53
54    // setcookie() のオプション配列形式で設定
55    $success2 = setcookie(
56        $cookieNameForRoot,
57        $cookieValueForRoot,
58        [
59            'expires'  => $expiresForRoot,
60            'path'     => $pathForRoot,
61            'domain'   => '',
62            'secure'   => false,
63            'httponly' => true,
64            'samesite' => 'Lax'
65        ]
66    );
67
68    // --- クッキー設定結果の表示 ---
69    // setcookie() はHTTPヘッダを送信するため、実際のクッキーの値はブラウザの開発者ツールで確認します。
70    // ここでは、setcookie() の呼び出しが成功したかどうかをユーザーに通知します。
71    echo "<h1>setcookie() の 'path' オプション使用例</h1>";
72    echo "<p>以下のクッキー設定処理が実行されました。ブラウザの開発者ツールでクッキーを確認してください。</p>";
73
74    if ($success1) {
75        echo "<p>✅ 成功: クッキー '<strong>{$cookieNameForApp}</strong>' がパス '<code>{$pathForApp}</code>' で設定されました。</p>";
76    } else {
77        echo "<p>❌ 失敗: クッキー '<strong>{$cookieNameForApp}</strong>' の設定に失敗しました。</p>";
78    }
79
80    if ($success2) {
81        echo "<p>✅ 成功: クッキー '<strong>{$cookieNameForRoot}</strong>' がパス '<code>{$pathForRoot}</code>' (ドメイン全体) で設定されました。</p>";
82    } else {
83        echo "<p>❌ 失敗: クッキー '<strong>{$cookieNameForRoot}</strong>' の設定に失敗しました。</p>";
84    }
85}
86
87// 関数を実行してクッキー設定のデモを開始します。
88demonstrateSetcookieWithPath();
89
90?>

PHPのsetcookie関数は、Webブラウザにクッキー（Webサイトの情報を一時的に保存する小さなデータ）を設定するために使用されます。この関数は、クッキーの設定が成功したかどうかを真偽値（trueまたはfalse）で返します。引数にはクッキー名、値、有効期限などの情報が渡されますが、特に重要な引数の一つにpathがあります。これは、設定されたクッキーが有効となるサーバー上のパスを指定するものです。

サンプルコードでは、pathオプションの異なる2つのクッキー設定例を示しています。一つはパスを/に設定しており、これはドメイン全体のどのページからでも利用できるクッキーを意味します。もう一つはパスを/app/に設定しており、これは/app/ディレクトリとそのサブディレクトリ配下のページでのみ利用できるクッキーを意味します。これにより、クッキーの適用範囲を柔軟に制御できます。

setcookie関数は、HTTPヘッダとしてクッキー情報をブラウザに送信するため、いかなるHTML出力よりも前に呼び出す必要があります。PHP 7.3以降では、expiresやpathなどのクッキーオプションを配列形式でまとめて指定することが推奨されており、httponlyでJavaScriptからのアクセスを禁止したり、samesiteでCSRF対策を行うなど、より安全な設定が可能です。設定されたクッキーは、ブラウザの開発者ツールで確認できます。

Copy
1<?php
2
3/**
4 * SameSite属性を含むHTTPクッキーを設定する関数。
5 *
6 * システムエンジニアを目指す初心者向けに、PHPのsetcookie関数を使用して
7 * SameSite属性を含むセキュアなクッキーを設定する方法を示します。
8 * SameSite属性は、クロスサイトリクエストフォージェリ (CSRF) 攻撃からの保護に役立ちます。
9 *
10 * @param string $name クッキーの名前
11 * @param string $value クッキーの値
12 * @return bool クッキーの設定が成功した場合はtrue、それ以外はfalse
13 */
14function setSecureSameSiteCookie(string $name, string $value): bool
15{
16    // クッキーの有効期限を設定 (例: 現在時刻から1時間後)
17    $expire = time() + (60 * 60);
18
19    // PHP 7.3 以降では、setcookie関数に連想配列でオプションを指定できます。
20    $options = [
21        'expires'  => $expire,           // クッキーの有効期限 (Unixタイムスタンプ)
22        'path'     => '/',               // クッキーが有効なパス (通常はサイト全体を示す '/')
23        'domain'   => '',                // クッキーが有効なドメイン (空にすると現在のドメインに自動設定)
24        'secure'   => true,              // HTTPS接続時のみクッキーを送信する (本番環境では 'true' を強く推奨)
25        'httponly' => true,              // JavaScriptからクッキーにアクセスできないようにする (XSS対策)
26        'samesite' => 'Lax',             // SameSite属性を設定 ('Lax', 'Strict', 'None' のいずれか)
27                                         // 'Lax': ユーザーがナビゲートする際のいくつかのクロスサイトリクエストでクッキーを送信
28                                         // 'Strict': 同一サイトリクエスト時のみクッキーを送信
29                                         // 'None': クロスサイトリクエストでもクッキーを送信するが、'secure'がtrueであること必須
30    ];
31
32    // setcookie関数でクッキーを設定
33    // setcookieはHTTPヘッダーを送信するため、この関数が呼び出される前に
34    // いかなる出力もあってはなりません。
35    $cookieSet = setcookie($name, $value, $options);
36
37    // クッキー設定の結果を出力（デバッグ用）
38    if ($cookieSet) {
39        echo "クッキー '{$name}' が正常に設定されました。<br>";
40        echo "値: '{$value}'<br>";
41        echo "SameSite属性: '{$options['samesite']}'<br>";
42        echo "Secure: " . ($options['secure'] ? 'true' : 'false') . "<br>";
43    } else {
44        // 通常、このエラーはsetcookieがHTTPヘッダー送信後に呼び出された場合に発生します。
45        echo "エラー: クッキー '{$name}' の設定に失敗しました。ヘッダーが既に送信されている可能性があります。<br>";
46    }
47
48    return $cookieSet;
49}
50
51// === サンプルコードの実行 ===
52// setcookie関数はHTTPヘッダーを送信するため、スクリプトの実行開始時に呼び出す必要があります。
53// 既に何らかの出力が行われている場合、クッキーは設定されません。
54if (headers_sent($file, $line)) {
55    echo "警告: ヘッダーが既に {$file} の {$line} 行目で送信されているため、クッキーを設定できませんでした。<br>";
56} else {
57    // 例1: ユーザーセッションIDをSameSite=Laxで設定
58    setSecureSameSiteCookie('user_session_id', 'a1b2c3d4e5f6');
59
60    echo "<br>";
61
62    // 例2: 言語設定をSameSite=Laxで設定
63    setSecureSameSiteCookie('preferred_language', 'en');
64}
65
66// 注意: 設定されたクッキーは、次のリクエストから $_COOKIE スーパーグローバル変数でアクセス可能になります。
67// 例えば、このページをブラウザでリロードすると、$_COOKIE['user_session_id'] などが利用可能になります。
68// var_dump($_COOKIE); // この行は、現在のリクエストで受信したクッキーを表示します。
69                    // 設定したクッキーがすぐには表示されないことに注意してください。
70?>

PHPのsetcookie関数は、ウェブブラウザに情報を一時的に保存する「クッキー」を設定するために使用されます。この関数は、ユーザーの状態を維持したり、設定を記憶したりする際に非常に重要です。

setcookie関数は、設定したいクッキーの名前と値を指定するのが基本です。PHP 7.3以降では、セキュリティや動作に関する詳細なオプションを連想配列として第3引数に渡すことができます。例えば、expiresで有効期限、pathでクッキーが有効なパス、domainで有効なドメインを指定します。

特に重要なオプションとして、secureをtrueに設定するとHTTPS接続時のみクッキーが送信され、httponlyをtrueに設定するとJavaScriptからのアクセスが制限され、クロスサイトスクリプティング（XSS）攻撃の対策となります。

さらに、クロスサイトリクエストフォージェリ（CSRF）攻撃から保護するためのsamesite属性も設定できます。samesiteにはLax、Strict、Noneのいずれかを指定し、クッキーを送信する条件を制御します。Laxは一般的な利用で推奨され、ユーザーがサイト間を移動する際の安全性を保ちます。Strictは同一サイトからのリクエストのみを許可し、Noneはクロスサイトリクエストでも許可しますが、secure属性が必須です。

この関数はクッキーの設定が成功した場合はtrue、失敗した場合はfalseを論理値として返します。setcookieはHTTPヘッダーを送信する性質上、この関数が呼び出される前にいかなる出力も行ってはならない点に注意が必要です。設定されたクッキーは、次のHTTPリクエストから$_COOKIEスーパーグローバル変数を通じてアクセスできるようになります。

Copy
1<?php
2
3/**
4 * 指定された名前のクッキーを削除します。
5 * クッキーを削除するには、有効期限を過去の時刻に設定し、
6 * 設定時と同じパスとドメインを指定する必要があります。
7 *
8 * @param string $name クッキーの名前
9 * @param string $path クッキーが設定されたパス (デフォルトは '/')
10 * @param string $domain クッキーが設定されたドメイン (デフォルトは現在のドメイン)
11 * @return bool クッキーの削除指示が正常に送信された場合は true、それ以外は false
12 */
13function deleteCookie(string $name, string $path = '/', string $domain = ''): bool
14{
15    // PHP 8では、setcookie関数のオプションを配列で渡すのが推奨されています。
16    // 'expires' を過去の時刻に設定することで、ブラウザにクッキーの削除を指示します。
17    // クッキーの値は削除時には通常空文字列を設定します。
18    $options = [
19        'expires' => time() - 3600, // 有効期限を1時間前の時刻に設定して、クッキーの削除を指示
20        'path' => $path,           // クッキーが有効なパス。設定時と一致させる必要があります。
21        'domain' => $domain,       // クッキーが有効なドメイン。設定時と一致させる必要があります。
22        'secure' => false,         // HTTPS接続でのみクッキーを送信するか。テスト用にfalse。本番ではtrueを推奨。
23        'httponly' => true         // JavaScriptからクッキーにアクセスできるか。セキュリティのためtrueを推奨。
24    ];
25
26    $result = setcookie($name, '', $options);
27
28    if ($result) {
29        echo "<p>クッキー '{$name}' の削除指示を送信しました。</p>";
30        echo "<p><strong>注意:</strong> ブラウザのクッキー情報は、このページを次に読み込んだときに更新されます。</p>";
31        echo "<p>このページを<strong>リロード</strong>するか、ブラウザのデベロッパーツールでクッキーが削除されたか確認してください。</p>";
32    } else {
33        echo "<p>クッキー '{$name}' の削除指示に失敗しました。</p>";
34    }
35    return $result;
36}
37
38// --- サンプルコードの実行 ---
39
40// 削除対象とするクッキーの名前を定義します。
41$cookieName = 'my_user_data';
42$cookiePath = '/'; // クッキーのパス（通常はサイトのルートパス '/'）
43
44// このスクリプトへの初回アクセス時、またはクッキーが設定されていない場合に、クッキーを設定します。
45if (!isset($_COOKIE[$cookieName])) {
46    echo "<h1>クッキー設定のデモンストレーション</h1>";
47    echo "<p>クッキー '{$cookieName}' が現在設定されていません。</p>";
48    echo "<p>確認のため、クッキーを設定します。値を 'sample_value'、有効期限を1時間後に設定。</p>";
49
50    // クッキーを設定します。
51    setcookie(
52        $cookieName,
53        'sample_value',
54        [
55            'expires' => time() + 3600, // 1時間後に有効期限が切れるように設定
56            'path' => $cookiePath,
57            'domain' => '', // 現在のドメインを使用
58            'secure' => false,
59            'httponly' => true
60        ]
61    );
62
63    echo "<p>クッキー '{$cookieName}' を設定しました。<strong>このページをもう一度読み込むと、削除処理を試すことができます。</strong></p>";
64} else {
65    // クッキーが既に設定されている場合、削除処理を実行します。
66    echo "<h1>クッキー削除のデモンストレーション</h1>";
67    echo "<p>現在、クッキー '{$cookieName}' は存在します。値: " . htmlspecialchars($_COOKIE[$cookieName]) . "</p>";
68
69    // クッキーの削除関数を呼び出します。
70    deleteCookie($cookieName, $cookiePath);
71}
72
73// 現在のリクエストでブラウザから受け取ったクッキー情報を表示します。
74// setcookie() はHTTPレスポンスヘッダーとして送信され、ブラウザが処理するため、
75// この現在のリクエストの $_COOKIE スーパーグローバルにはすぐに反映されません。
76// 次のリクエスト（ページを再読み込み）で変更が反映されます。
77echo "<h2>現在のブラウザからのクッキー情報 (\$_COOKIE):</h2>";
78if (!empty($_COOKIE)) {
79    echo "<pre>";
80    print_r($_COOKIE);
81    echo "</pre>";
82} else {
83    echo "<p>ブラウザから受け取ったクッキーはありません。</p>";
84}

PHPのsetcookie関数は、Webブラウザに対してクッキーという情報を設定するために使用されます。このサンプルコードでは、setcookie関数を利用して、既存のクッキーを削除する方法をPHP 8の推奨される形式で示しています。

クッキーを削除する際は、setcookie関数の第一引数$nameに削除したいクッキーの名前を指定し、第二引数$valueには通常、空文字列を設定します。最も重要なのは、第三引数$expires_or_optionsです。ここに配列形式で'expires'キーに現在時刻より過去のUnixタイムスタンプを指定すると、ブラウザは該当のクッキーが既に期限切れであると判断し、削除処理を行います。

また、クッキーが設定された時と同じ$pathと$domainをオプションとして正確に指定する必要があります。これらが異なると、ブラウザが削除対象のクッキーを特定できず、削除が正しく行われない可能性があります。$secureや$httponlyといった他のオプションも、設定時と合わせるか適切な値を指定することが推奨されます。

setcookie関数の戻り値はbool型で、HTTPヘッダーとしてクッキーの設定指示が正常に送信された場合にtrueを返します。ただし、この関数はあくまでブラウザへの指示を送信するだけであり、現在のリクエストにおける$_COOKIEスーパーグローバル変数には即座に反映されません。クッキーが実際に削除されたことを確認するには、ページをリロードしてブラウザからの次のリクエストで更新された$_COOKIE変数を参照するか、ブラウザのデベロッパーツールで確認する必要があります。このコードは、まずクッキーを設定し、その後にページをリロードすることで削除処理を体験できるように設計されています。

Copy
1<?php
2
3/**
4 * クッキーを設定し、有効期限を指定するサンプルコード
5 *
6 * このスクリプトは、ブラウザに「user_preference」という名前のクッキーを設定します。
7 * クッキーの値は「dark_mode」で、有効期限は現在の時刻から1時間後です。
8 *
9 * setcookie()関数は、HTTPレスポンスヘッダーの一部としてクッキー情報を送信します。
10 * このため、setcookie()関数は、いかなるHTML出力やecho文よりも前に呼び出す必要があります。
11 */
12
13// クッキーの名前と値を定義
14$cookie_name = "user_preference";
15$cookie_value = "dark_mode";
16
17// 有効期限をUNIXタイムスタンプで計算
18// time() は現在のUNIXタイムスタンプを返します。
19// 60秒 * 60分 = 3600秒 (1時間)
20$expiration_time = time() + (60 * 60); // 現在時刻から1時間後に有効期限切れ
21
22// setcookie()関数を使ってクッキーを設定
23// 引数: 名前, 値, 有効期限, パス, ドメイン, セキュア, HTTP Only
24$cookie_set_success = setcookie(
25    $cookie_name,       // クッキーの名前
26    $cookie_value,      // クッキーの値
27    $expiration_time,   // 有効期限 (UNIXタイムスタンプ)。この例では1時間後。
28    '/',                // クッキーが有効なサーバーパス。'/'はドメイン全体で有効。
29    '',                 // クッキーが有効なドメイン。空欄は現在のドメイン。
30    false,              // セキュア: trueにするとHTTPS接続でのみ送信される。初心者向けにfalse。
31    true                // HTTP Only: trueにするとJavaScriptからのアクセスを禁止し、セキュリティを高める。
32);
33
34// クッキーの設定結果を表示
35if ($cookie_set_success) {
36    echo "<h1>クッキーの設定が成功しました！</h1>";
37    echo "<p>以下のクッキーがブラウザに設定されました。</p>";
38    echo "<ul>";
39    echo "<li><strong>名前:</strong> '{$cookie_name}'</li>";
40    echo "<li><strong>値:</strong> '{$cookie_value}'</li>";
41    echo "<li><strong>有効期限:</strong> " . date('Y-m-d H:i:s', $expiration_time) . " (現在時刻から1時間後)</li>";
42    echo "<li><strong>パス:</strong> /</li>";
43    echo "<li><strong>HTTP Only:</strong> はい</li>";
44    echo "</ul>";
45    echo "<p>ブラウザの開発者ツール（F12キーで開くことが多い）の「アプリケーション」または「ストレージ」タブから、クッキーを確認できます。</p>";
46    echo "<p>このページをリロードすると、ブラウザが設定されたクッキーをサーバーに送信します。</p>";
47} else {
48    echo "<h1>クッキーの設定に失敗しました。</h1>";
49    echo "<p>原因として、すでに何らかの出力が行われている可能性があります。</p>";
50}
51
52?>

PHPのsetcookie関数は、ウェブブラウザにクッキー（Cookie）を設定するために使用されます。クッキーは、ユーザーのブラウザに少量の情報を保存し、次回アクセス時にその情報を利用できるようにする仕組みです。この関数は、HTTPレスポンスヘッダーの一部としてクッキー情報を送信するため、HTML出力やecho文など、コンテンツの出力よりも前に呼び出す必要があります。

引数$nameでクッキーの名前、$valueでその値を指定します。最も重要な機能の一つが有効期限の設定で、$expires_or_options引数にUNIXタイムスタンプ形式で指定します。サンプルコードではtime()関数で現在時刻を取得し、それに秒数を加算することで「現在時刻から1時間後」という有効期限を設定しています。これにより、指定した時間が経過するとブラウザからクッキーが自動的に削除されます。

また、$pathでクッキーが有効なパスを、$domainで有効なドメインを指定できます。$secureをtrueにするとHTTPS接続でのみクッキーが送信され、$httponlyをtrueにするとJavaScriptからのクッキーアクセスを禁止し、セキュリティを高めることができます。

setcookie関数は、クッキーの設定に成功した場合はtrueを、失敗した場合はfalseをブール値で返します。この戻り値を確認することで、クッキーが正しく設定されたかどうかの判定が可能です。このようにsetcookie関数は、ユーザーの状態を管理する上で重要な役割を果たします。