41. I Cookie

Posted Lun, 11/24/2008 - 21:36 by Francesco Casula

I cookie sono un metodo veloce ed efficace per "ricordarsi" di un utente.

Il sistema è molto semplice e permette di memorizzare dei dati nel browser del navigatore. Questi dati vengono scritti in un file che prende il nome di cookie, che sarà possibile creare se il browser dell'utente è configurato per accettarli.

Di norma i cookie sono attivi nella stragrande maggioranza dei browser, e molti siti richiedono che siano obbligatoriamente abilitati per poter usufruire dei servizi da loro offerti.

I cookie si possono impostare con due funzioni che PHP ci fornisce : setcookie() e setrawcookie().

In PHP i cookie fanno parte dell'intestazione HTTP, motivo per cui è necessario chiamare setcookie() prima di mandare qualsiasi dato in output al browser dell'utente.

Se non è possibile evitare degli output prima di settare il cookie, interviene in nostro aiuto la funzione ob_start(), che posticiperà automaticamente gli output dello script, bufferizzandoli finchè non saranno impostati i cookie o l'intestazione.

Una volta impostati i cookie, sarà possibile accedervi attraverso l'array globale $_COOKIE[].

Vediamo ora come è possibile impostare i cookie attraverso la funzione setcookie().

Prototipo della funzione

bool setcookie ( string name [, string value [, int expire [, string path [, string domain [, bool secure [, bool httponly]]]]]] )

Lista dei parametri di setcookie() :

  1. name - Obbligatorio - Definisce un nome per il cookie
  2. value - Facoltativo - Il valore da memorizzare nel cookie
  3. expire - Facoltativo - Il tempo di scadenza del cookie in formato timestamp Unix
  4. path - Facoltativo - La directory del server da cui sarà accessibile il cookie
  5. domain - Facoltativo - Il dominio web da cui sarà accessibile il cookie
  6. secure - Facoltativo - Per impostare il cookie solo su connessioni sicure HTTPS
  7. httponly - Facoltativo - Per rendere accessibile il cookie solo attraverso il protocollo HTTP
    Nota : httponly è disponibile da PHP 5.2.0 e non è supportato da tutti i browser ma è molto utile per ridurre gli attacchi di tipo XSS, impedendo l'accesso al cookie da linguaggi client-side come Javascript

Esempio Cookie

Vedremo ora un semplice esempio in una pagina singola, attraverso cui creeremo e cancelleremo un cookie servendoci di due form HTML separate in modo da poter inviare due comandi differenti.

Stavolta dividerò il codice in due pezzi per poterlo spiegare meglio ai neofiti.

test.php

Vediamo la prima parte della pagina, costituita da solo codice PHP e priva di output in modo da non inviare l'header della pagina prima di aver operato sul cookie.

Non uso volontariamente la funzione ob_start() che ci permette di bufferizzare l'output, per non diminuire inutilmente le prestazioni dello script, anche se in questo caso lo script è talmente leggero che non si noterebbe alcuna differenza, ma vi consiglio comunque di non usare mai ob_start() inutilmente.

<?php

	function cancellaCookie($nomeCookie)
	{
		unset($_COOKIE[$nomeCookie]);
		setcookie($nomeCookie, "", time() - 86400); // Imposta la scadenza al giorno prima
	}

	if ($_POST["comando"] == "cancella")
	{
		cancellaCookie("dato");
	}
	else if ($_POST["comando"] == "imposta")
	{
		$scadenza = (int) $_POST["expire"] + time();
		setcookie("dato", $_POST["dato"], $scadenza, "/test/");

		/* Scriviamo direttamente nell'array globale per non far fallire la prossima IF
		rendendo così il cookie disponibile da subito senza ricaricare la pagina */
		$_COOKIE["dato"] = $_POST["dato"];
	}

?>

In questa prima parte di codice ho creato la funzione cancellaCookie(), che per cancellare i cookie ne imposta la data di scadenza al giorno prima. Prima di chiamare setcookie() però effettua una chiamata ad unset().

Questo per evitare che si tenti di accedere al cookie cancellato prima che la pagina venga ricaricata.

I browser infatti cancellano il cookie (file) dall'hard disk se verificano che il cookie è effettivamente scaduto, ma appena cancellato rimane comunque disponibile nell'array globale $_COOKIE[] fino ad un nuovo caricamento pagina che forzerà l'aggiornamento dell'array.

Dopo la definizione della funzione cancellaCookie() troviamo un blocco IF - ELSE IF dove agiamo di conseguenza al comando inviato da una delle due form HTML che vedremo nel secondo pezzo della pagina.

Nella else if assegniamo la data di scadenza del cookie, sommando al valore $_POST["expire"] inviatoci da una form, la timestamp corrente restituita da time().


Infine ho richiamato setcookie() impostando "/test/" come path valida per il cookie, poichè la mia pagina test.php si trova al momento sotto il seguente URL : http://localhost/test/test.php.

Vediamo il secondo pezzo di test.php

<?php /* Incollate qui il primo pezzo di test.php per fare le prove */ ?>
<html>
	<head>
		<title>Impostiamo e cancelliamo i Cookie</title>
	</head>
	<body>


		<?php

			if (isset($_COOKIE["dato"]))
			{
				echo "Cookie impostato per ricordare il seguente dato = \"" . $_COOKIE["dato"] . "\"";

				?>

				<br /><br />

				<form name="deletecookie" action="test.php" method="post">
					<input type="hidden" name="comando" value="cancella" />

					<input type="submit" value="Cancella cookie" />
				</form>

				<?php
			}
			else
			{
				?>

				<form name="writecookie" action="test.php" method="post">
					<table width="400" border="0" cellspacing="5" cellpadding="5">

						<tr>
							<td>Dato da memorizzare</td>
							<td><input type="text" name="dato" value="" /></td>

						</tr>
						<tr>
							<td>Scadenza del cookie</td>
							<td><input type="text" name="expire" value="" /></td>

						</tr>
						<tr>
							<td><input type="submit" value="Imposta cookie" /></td>

							<td> </td>
						</tr>
					</table>
					<input type="hidden" name="comando" value="imposta" />

				</form>

				<?php
			}
		
		?>

	</body>
</html>

Questo secondo pezzo di codice è un misto di PHP e HTML, diviso sostanzialmente in due blocchi principali, una IF e la sua corrispondente ELSE.

Con la IF controllo se il cookie è impostato mediante un controllo con isset() sull'array globale $_COOKIE[], motivo per cui nel primo pezzo di codice settiamo il cookie sia manualmente che con la funzione setcookie().

Se il cookie è impostato viene stampato il suo valore e di seguito una form HTML per eliminarlo dal browser del client, che invierà una sola variabile di nome comando (name="comando") e impostata al valore "cancella" (value="cancella").

Questa variabile la controlliamo nel primo pezzo di codice attraverso la prima IF : if ($_POST["comando"] == "cancella")

Nell'ultima else abbiamo un'altra form HTML (writecookie) che ci servirà per impostare il cookie.

La form writecookie invia 3 valori :

  1. dato - Il valore da memorizzare nel cookie
  2. expire - La durata del cookie espressa in secondi
  3. comando - Assegnato a "imposta" per indicare allo script che deve impostare il cookie

La prima volta che si esegue la pagina test.php e tutte le volte in cui il cookie non è impostato o scaduto, si ottiene questo output sul browser.

Una volta impostato il cookie, riaprendo la pagina (non aggiornate con F5 o reinvierete i dati per POST) otterrete invece questo output.

Se poi state usando Firefox, che consiglio vivamente soprattutto se create siti in quanto ha una miriade di strumenti utili per noi sviluppatori, allora potete andare su "Strumenti" -> "Opzioni..." -> "Privacy" -> "Mostra i cookie..." e cercare il cookie appena impostato cercando per nome cookie o per dominio.

Una schermata del gestore cookie di Firefox con la lettura del cookie impostato nell'esempio soprastante.

Inoltre ricordatevi sempre di non memorizzare dati sensibili nei cookie, e se mettete delle password create un algoritmo di criptazione o appoggiatevi ad un algoritmo di terze parti che faccia un buon lavoro.

Aggiungo infine che se un browser rispetta gli standard dei cookie, non sarà possibile creare dei cookie più grandi di 4KB per un massimo di 20 cookie per dominio, e il browser dell'utente non accetterà inoltre dei cookie se ne ha già un totale di 200.

Per ovviare a questi problemi ci serviremo delle "Sessioni" che vedremo nei prossimi capitoli.

Nota : nella sezione Download potete trovare altre estensioni utili di Firefox per sviluppare applicazioni web.
Le consiglio tutte ma in particolare provate Firebug e Web Developer ... è tutto aggratis eh!