Description

setcookie(
    string $name,
    string $value = "",
    int $expires_or_options = 0,
    string $path = "",
    string $domain = "",
    bool $secure = false,
    bool $httponly = false
): bool

Signature alternative disponible à partir de PHP 7.3.0 (pas supporté avec les paramètres nommés) :

setcookie(string $name, string $value = "", array $options = []): bool

setcookie() définit un cookie qui sera envoyé avec le reste des en-têtes HTTP. Comme pour les autres en-têtes, les cookies doivent être envoyés avant toute autre sortie du script (c'est une restriction du protocole HTTP, pas de PHP). Cela impose d'appeler cette fonction avant toute balise <html> ou <head> et aussi des caractères d'espacement blanc.

Une fois que les cookies ont été placés, ils seront accessibles lors du prochain chargement de page dans le tableau $_COOKIE. Les valeurs des cookies peuvent aussi exister dans la variable $_REQUEST.

Liste de paramètres

La » RFC 6265 est la référence pour l'interprétation des paramètres passés à setcookie().

name: Le nom du cookie.
value: La valeur du cookie. Cette valeur est stockée sur l'ordinateur du client ; ne stockez pas d'informations sensibles. Si le paramètre name vaut 'cookiename', cette valeur est récupérée avec $_COOKIE['cookiename']
expires_or_options: Le temps après lequel le cookie expire. C'est un horodatage Unix, donc un nombre de secondes depuis l'époque Unix (1 janvier 1970). Une façon de définir cette valeur est d'ajouter le nombre de secondes avant que le cookie n'expire au résultat d'un appel à time(). Par exemple time()+60*60*24*30 configurera le cookie pour qu'il expire dans 30 jours. Une autre possibilité consiste à utiliser la fonction mktime(). Si ce paramètre vaut 0, ou s'il est omis, le cookie expirera à la fin de la session (lorsque le navigateur sera fermé).
Note: Le paramètre expires_or_options prend un horodatage Unix, et non pas la date au format Jour, JJ-Mois-AAAA HH:MM:SS GMT, car PHP fait la conversion en interne.
path: Le chemin sur le serveur sur lequel le cookie sera disponible. Si la valeur est '/', le cookie sera disponible sur l'ensemble du domaine domain. Si la valeur est '/foo/', le cookie sera uniquement disponible dans le répertoire /foo/ ainsi que tous ses sous-répertoires comme /foo/bar/ dans le domaine domain. La valeur par défaut est le répertoire courant où le cookie a été défini.
domain: Le (sous-)domaine pour lequel le cookie est disponible. Définir ceci à un sous-domaine (tel que 'www.example.com') rendra le cookie disponible pour ce sous-domaine ainsi que tous ses sous-domaines (par exemple : w2.www.example.com). Pour rendre le cookie disponible sur tout le domaine (ainsi que tous ses sous-domaines), définissez simplement la valeur avec le nom de domaine ('example.com', avec cet exemple). Les anciens navigateurs continuant d'implémenter la » RFC 2109 (obsolète) peuvent nécessiter un . pour rendre disponible tous les sous-domaines.
secure: Indique si le cookie doit uniquement être transmis à travers une connexion sécurisée HTTPS depuis le client. Lorsque ce paramètre vaut true, le cookie ne sera envoyé que si la connexion est sécurisée. Côté serveur, c'est au développeur d'envoyer ce genre de cookie uniquement sur les connexions sécurisées (par exemple, en utilisant la variable $_SERVER["HTTPS"]).
httponly: Lorsque ce paramètre vaut true, le cookie ne sera accessible que par le protocole HTTP. Cela signifie que le cookie ne sera pas accessible via des langages de scripts, comme Javascript. Il a été suggéré que cette configuration permet de limiter les attaques via XSS (bien qu'elle ne soit pas supportée par tous les navigateurs), néanmoins ce fait est souvent contesté. true ou false
options: Un tableau associatif qui peut avoir comme clés expires, path, domain, secure, httponly et samesite. Les valeurs ont la même signification que celles décrites pour les paramètres avec le même nom. La valeur de l'élément samesite doit être None, Lax ou Strict. Si une option autorisée n'est pas donnée, alors sa valeur par défaut sera identique à la valeur par défaut des paramètres explicites. Si l'élément samesite est omis, alors l'attribut SameSite du cookie ne sera pas défini.
Note: Pour définir un cookie qui inclut des attributs qui ne figurent pas parmi les clés répertoriées, utiliser header().

Note: Si samesite vaut "None", alors secure doit également être activé, sinon le cookie sera bloqué par le client.

Valeurs de retour

Si quelque chose a été envoyé sur la sortie standard avant l'appel à cette fonction, setcookie() échouera et retournera false. Si setcookie() réussit, elle retournera true. Cela n'indique pas si le client accepte ou non le cookie.

Erreurs / Exceptions

Si le tableau options contient une clé non supportée, une ValueError est lancée.

Antérieur à PHP 8.0.0, si le tableau options contenait une clé non supportée, une erreur de niveau E_WARNING était émise.

Historique

Version	Description
8.2.0	La date du cookie est au format `'D, d M Y H:i:s \G\M\T'` ; précédemment c'était `'D, d-M-Y H:i:s T'`.
8.0.0	Si le tableau `options` contient une clé non supportée, une ValueError est désormais lancée ; précédemment, ces clés étaient ignorées avec une erreur de niveau `E_WARNING`.
7.3.0	Une signature alternative supportant un tableau d'`options` a été ajoutée. Cette signature supporte également la définition de l'attribut SameSite du cookie.

Exemples

Les effets des exemples suivants peuvent être observés en utilisant la liste des cookies des outils de développement du navigateur (généralement dans l'onglet Stockage ou Application).

Exemple #1 Exemple d'envoi d'un cookie avec setcookie()

<?php

$value = 'something from somewhere';

// Définit un "cookie de session" qui expire lorsque le navigateur est fermé
setcookie("TestCookie", $value);
// Définit un cookie qui expire dans 1 heure
setcookie("TestCookie", $value, time()+3600);
// Définit un cookie qui s'applique uniquement à un chemin spécifique sur un domaine spécifique
// Notez que le domaine utilisé devrait correspondre au domaine du site
setcookie("TestCookie", $value, time()+3600, "/~rasmus/", "example.com", true);

?>

À noter que la partie "valeur" du cookie sera automatiquement encodée URL par PHP. Cela peut être évité en utilisant la fonction setrawcookie() à la place.

Pour voir le contenu des cookies définis dans l'exemple ci-dessus lors d'une requête ultérieure :

<?php
// Afficher un cookie
echo $_COOKIE["TestCookie"];

// Une autre façon de déboguer/tester est d'afficher tous les cookies
print_r($_COOKIE);
?>

Exemple #2 Exemple d'effacement d'un cookie avec setcookie()

Pour supprimer un cookie, définissez sa date d'expiration à une valeur dans le passé (mais pas zéro, qui est réservé aux cookies de session).

Pour supprimer les cookies définis dans l'exemple précédent :

<?php
// Définit la date d'expiration à une heure dans le passé
setcookie("TestCookie", "", time() - 3600);
setcookie("TestCookie", "", time() - 3600, "/~rasmus/", "example.com", 1);
?>

Exemple #3 setcookie() et les tableaux

Un "tableau de cookies" peut être défini en utilisant la notation tableau dans le nom du cookie. Cela a pour effet de créer autant de cookies qu'il y a d'éléments dans le tableau, mais lorsque le cookie est reçu par le script, les valeurs sont toutes placées dans un tableau avec le nom du cookie :

<?php
// Définit les cookies
setcookie("cookie[three]", "cookiethree");
setcookie("cookie[two]", "cookietwo");
setcookie("cookie[one]", "cookieone");

// Après le rechargement de la page, nous les affichons
if (isset($_COOKIE['cookie'])) {
    foreach ($_COOKIE['cookie'] as $name => $value) {
        $name = htmlspecialchars($name);
        $value = htmlspecialchars($value);
        echo "$name : $value <br />\n";
    }
}
?>

L'exemple ci-dessus va afficher :

three : cookiethree
two : cookietwo
one : cookieone

Note: L'utilisation des caractères de séparation comme [ et ] comme faisant partie du nom du cookie n'est pas conforme à la RFC 6265, section 4, mais est supposée être supportée par les user agents, suivant la RFC 6265, section 5.

Notes

Note: La mise en tampon de sortie peut être utilisée pour permettre la sortie du script avant l'appel à cette fonction. Toute sortie sera mise en tampon jusqu'à ce qu'elle soit vidée (soit explicitement, soit à la fin de l'exécution du script). Cela se fait en appelant ob_start() et ob_end_flush() dans le script, ou en activant la directive de configuration output_buffering dans le fichier php.ini ou dans les fichiers de configuration du serveur.

Erreurs courantes :

Les cookies ne seront accessibles qu'au chargement de la prochaine page, ou au rechargement de la page courante. Pour tester si un cookie a été défini avec succès, vérifiez la présence du cookie au prochain chargement de la page avant que le cookie n'expire. Le délai d'expiration est défini en utilisant le paramètre expires_or_options. Une façon simple de vérifier l'existence du cookie est d'utiliser print_r($_COOKIE);.
Les cookies doivent être effacés avec les mêmes paramètres que ceux utilisés lors de leur création. Si l'argument value est une chaîne vide et que les autres arguments correspondent exactement à un appel setcookie() précédent, alors le cookie avec le nom spécifié sera supprimé du client distant. En interne, cela est réalisé en positionnant la valeur à 'deleted' et la date d'expiration dans le passé.
Du fait que l'assignation d'une valeur valant false à un cookie tente de l'effacer, les valeurs booléennes ne devraient pas être utilisées. À la place, utiliser 0 pour false et 1 pour true.
Les noms des cookies peuvent être des tableaux de noms et seront disponibles dans les scripts PHP sous la forme de tableaux, mais des cookies différents seront placés sur le navigateur. Utiliser json_encode() pour définir un cookie avec des noms et des valeurs multiples. Il n'est pas recommandé d'utiliser la fonction serialize() pour cela, car cela peut conduire à des problèmes de sécurité.

Les appels multiples à la fonction setcookie() seront effectués dans l'ordre.

Voir aussi

header() - Envoie un en-tête HTTP brut
setrawcookie() - Envoie un cookie sans encoder sa valeur en URL
Section sur les cookies
» RFC 6265
» RFC 2109