Cookies


Mit Cookies hat man genau so die Möglichkeit, wie bei Sessions, bestimmte Daten während einer Folge von Aufrufen einer Website festzuhalten.
Allerdings kann man mit Cookies auch Daten über die Sitzung hinaus speichern (z.B. 100 Tage nach der Speicherung), denn Cookies werden als Datei auf dem Computer des Besuchers gespeichert.
Allerdings kann der Besucher uns natürlich verbieten, auf seinem Computer einen Cookie zu speichern, darum verwendet man nur für die Speicherung von Daten während einer Folge von Aufrufen einer Website lieber Sessions.

Ein Cookie benutzt man z.B. um Besucher auch nach Ablauf der Session, also i.d.R. nach dem Verlassen der Homepage, eindeutig zu identifizieren.
Dies kann man z.B. bei Umfragen benutzt werden, oder als „Wiederkehrfunktion“ bei einem Forum.

Cookie setzen

Nur ganz oben bevor etwas mit oder ohne PHP ausgegeben wird können wir ein Cookie setzen:

Die erste Angabe (username) ist der Name des Cookies, über die der Cookie später immer erreichbar ist. Die zweite Angabe ist der Wert, der nachher im Cookie gespeichert wird. In diesem Fall Max. Die dritte Stelle ist eine Zeitangabe, wie lange der Cookie gültig, d.h. auf dem Computer des Anwenders gespeichert wird. In diesem Fall hab ich aber keine Zeitangabe sondern die Zahl 0 verwendet. Null heißt, dass der Cookie bis zum Ende der Sitzung hält, also solange wie der Benutzer den Browser geöffnet hat.
Um einen Zeitpunkt anzugeben, muss man die Sekunden seit dem 1.1.1970 angeben. Da man meistens aber keinen exakten Zeitpunkt angibt, z.B. den 31.08.2015, speichert man eigentlich nur eine Zeitspanne, nach wie vielen Tagen der Cookie verfällt. Um dies zu realisieren, verwendet man einen kleinen Trick. Man ermittelt den aktuellen Timestamp, also den Zeitpunkt der Cookiesetzung, und rechnet zu dem Wert dann noch die entsprechenden Sekunden für die Lebensspanne des Cookies:

Dieser Cookie würde jetzt 3600*24 Sekunden halten und das entspricht 24 Stunden.

Cookies auslesen

Cookies können ähnlich wie Sessions ausgelesen werden:

Bei dem Auslesen von Cookies ist außerdem noch zu beachten das sie nur in dem Verzeichnis wo ein Cookie gesetzt wurde, der Cookie auch ausgelesen werden kann. In einem anderen Verzeichnis ist er nicht auslesbar.

Cookies Löschen

Um ein Cookie zu löschen, muss man einen Zeitpunkt in der Vergangenheit angeben. Dadurch erkennt der Browser, dass dieser Cookie abgelaufen ist, und löscht diesen:

Sicherheit von Cookies
Im Gegensatz zu Sessions werden Cookies auf dem Computer des Besuchers und nicht auf dem Server der Webseite gespeichert, deshalb können sie gefälscht werden.
Zum Beispiel beim Browser Firefox gibt es einen Datei, die so aussehen könnte:

Der erste Wert gibt an, von welcher Website dieser Cookie stammt, die 0 ist die Lebensdauer des Cookies. Danach folgt der Cookie Name und der Cookiewert.

Natürlich kann jeder den Inhalt auslesen und auch verändern, darum sollte man einem Cookie nicht trauen.
Falls ein Angreifer z.B. den Cookie kopiert, dann kann er sich damit als der Besitzer ausgeben.

Angemeldet bleiben

Cookies werden often genutzt, um die beliebte Funktion Angemeldet bleiben zu implementieren. Dazu wird auf dem Rechner des Besuchers ein entsprechender, geheimer Wert hinterlegt. Sobald der Besucher die Website erneut besucht, wird dieser Wert im Cookie ausgelesen und sofern alles stimmt, wird der Benutzer eingeloggt. Die Umsetzung dieser Funktion ist nicht ganz einfach, deswegen haben wir diesem Thema einen extra Artikel gewidmet: Angemeldet bleiben.