php: Cookies

html
Grundlagen

Header

Tabelle

Formular

Bilder

Attribute

Sicherheit

php
Grundlagen

Funktionen

Datum

Dateien

Datenbank

Cookies

Code
Termine

To-Do Liste
Hacking
telnet

commix

sqlmap

Fake Site

Other
.htaccess

robots.txt

Cookies:

Allgemein:

Mit Cookies hat man genau so die Möglichkeit, wie bei Sessions, bestimmte Daten während einer Folge von Aufrufen einer Website festzuhalten.
Allerdings kann man mit Cookies auch Daten über die Sitzung hinaus speichern (z.B. 100 Tage nach der Speicherung), denn Cookies werden als Datei auf dem Computer des Besuchers gespeichert.
Allerdings kann der Besucher uns natürlich verbieten, auf seinem Computer einen Cookie zu speichern, darum verwendet man nur für die Speicherung von Daten während einer Folge von Aufrufen einer Website lieber Sessions.

Ein Cookie benutzt man z.B. um Besucher auch nach Ablauf der Session, also i.d.R. nach dem Verlassen der Homepage, eindeutig zu identifizieren.
Dies kann man z.B. bei Umfragen benutzt werden, oder als "Wiederkehrfunktion" bei einem Forum.

Cookie setzen

Nur ganz oben bevor etwas mit oder ohne PHP ausgegeben wird können wir ein Cookie setzen:
<?php
setcookie("username","Max",0);
?>
Die erste Angabe (username) ist der Name des Cookies, über die der Cookie später immer erreichbar ist.
Die zweite Angabe ist der Wert, der nachher im Cookie gespeichert wird.
In diesem Fall Max. Die dritte Stelle ist eine Zeitangabe, wie lange der Cookie gültig, d.h. auf dem Computer des Anwenders gespeichert wird.
In diesem Fall hab ich aber keine Zeitangabe sondern die Zahl 0 verwendet.
Null heißt, dass der Cookie bis zum Ende der Sitzung hält, also solange wie der Benutzer den Browser geöffnet hat.
Um einen Zeitpunkt anzugeben, muss man die Sekunden seit dem 1.1.1970 angeben.
Da man meistens aber keinen exakten Zeitpunkt angibt, z.B. den 31.08.2015, speichert man eigentlich nur eine Zeitspanne, nach wie vielen Tagen der Cookie verfällt.
Um dies zu realisieren, verwendet man einen kleinen Trick.
Man ermittelt den aktuellen Timestamp, also den Zeitpunkt der Cookiesetzung, und rechnet zu dem Wert dann noch die entsprechenden Sekunden für die Lebensspanne des Cookies:
<?php
setcookie("username","Max",time()+(3600*24));
?>
Dieser Cookie würde jetzt 3600*24 Sekunden halten und das entspricht 24 Stunden.

Cookies auslesen

Cookies können ähnlich wie Sessions ausgelesen werden:
<?php
$cookie = $_COOKIE["username"];
echo "Der Inhalt des Cookies: $cookie";
?>
Bei dem Auslesen von Cookies ist außerdem noch zu beachten das sie nur in dem Verzeichnis wo ein Cookie gesetzt wurde, der Cookie auch ausgelesen werden kann.
In einem anderen Verzeichnis ist er nicht auslesbar.

Cookies Löschen

Um ein Cookie zu löschen, muss man einen Zeitpunkt in der Vergangenheit angeben.
Dadurch erkennt der Browser, dass dieser Cookie abgelaufen ist, und löscht diesen:
<?php
setcookie("username","",time() - 3600);
?>

Sicherheit von Cookies

Im Gegensatz zu Sessions werden Cookies auf dem Computer des Besuchers und nicht auf dem Server der Webseite gespeichert,
deshalb können sie gefälscht werden.

Zum Beispiel beim Browser Firefox gibt es einen Datei, die so aussehen könnte:
# HTTP Cookie File
# http://www.netscape.com/newsref/std/cookie_spec.html
# This is a generated file! Do not edit.
# To delete cookies, use the Cookie Manager.
self.elekdstj.de FALSE / FALSE 0 username Max
Der erste Wert gibt an, von welcher Website dieser Cookie stammt, die 0 ist die Lebensdauer des Cookies. Danach folgt der Cookie Name und der Cookiewert.

Natürlich kann jeder den Inhalt auslesen und auch verändern, darum sollte man einem Cookie nicht trauen.
Falls ein Angreifer z.B. den Cookie kopiert, dann kann er sich damit als der Besitzer ausgeben.
Marc Disch Blog Vefko

self.mdisch.ch © Marc Disch