PHP에서의 쿠키
PHP가 거의 완벽하게 쿠키를 지원하기 때문에 쿠키를 이용하기 위해 이해하기 어려운 요구헤더나 응답헤더를 이해할 필요가 없습니다. 쿠키를 생성할 때는 setcookie() 함수를 사용합니다. 쿠키를 생성할 때 필요로 하는 옵션들 - 유효기간, 유효경로, 유효도메인, 보안설정 - 은 setcookie() 함수의 매개변수로 전달하면 됩니다. PHP 내에서 쿠키를 읽는 것은 변수를 액세스하는 것처럼 간단합니다. PHP 스크립트를 시작할 때 쿠키들은 자동적으로 전역변수로 사용되도록 만들어집니다. 예를 들어, 쿠키명이 "ID"이고 쿠키값이 "123456789"라면 쿠키명 "ID"에 해당하는 전역변수 $ID에 "123456789"라는 값이 저장되어 있을 것입니다. 때에 따라서는 $ID라는 전역변수대신에 $HTTP_COOKIE_VARS["ID"]라는 전역배열변수를 가지고 다룰 수 있습니다.
쿠키 설정하기
PHP에서는 setcookie() 함수를 이용하여 쿠키를 설정할 수 있습니다. PHP에서 쿠키를 생성하는 함수 setcookie()의 정의는 다음과 같으며, 이 중에 name를 제외한 나머지 매개변수는 모두 생략할 수 있습니다.
int setcookie(string name, string [value],
int [expire],
string [path],
string [domain],
int [secure]);
생략할 수 있는 매개변수에 대한 기본값은 빈문자열(value, path, domain)이거나 0(expire, secure)입니다. 예를 들어, 만약 expire와 path는 기본값을 사용하고 domain만 새로이 지정하고자 한다면 다음과 같이 사용할 수 있습니다.
[code php;gutter:false]
setcookie("name", "value", 0, "", ".phpclass.com");
[/code]
| 구분 |
매개변수명 |
기본값 |
동작 |
| 쿠키의 유효기간 |
expires |
0 |
사용자가 브라우저를 종료할 때 쿠키가 없어짐 |
| 쿠키의 유효 디렉토리 |
path |
웹문서 경로 |
웹문서가 존재하는 디렉토리 |
| 쿠키의 유효 도메인 |
domain |
지정안함 |
쿠키를 설정한 서버의 도메인 |
| 쿠키의 보안 |
secure |
지정안함 |
Disabled |
name & value
첫 번째 매개변수 name은 설정할 쿠키명이고 value는 그 쿠키에 저장될 이름입니다. 자세한 것은 앞장 "쿠키 규격"을 참조바랍니다.
유효기간 설정하기
세 번째 매개변수 expire는 쿠키 유효기간을 설정하는 함수이며, 정수형으로서 표준 유닉스 시간을 그 값으로 갖습니다. 유효기간은 반드시 타임스탬프(1970년 1월 1일 이후 시간을 초로 표시)로 지정됩니다. 이 타임스탬프는 PHP에서 time()과 mktime() 함수들을 사용하여 계산할 수 있습니다. time() 함수는 현재 시간을 타임스탬프로 리턴하며, mktime() 함수는 사람들에게 익숙한 형식의 날짜(예를 들어, Tue, 06 Feb 2001 12:57:21 GMT)를 타임스탬프로 변환해 줍니다. time() 함수와 mktime() 함수에 의해 계산된 시간은 웹서버 시간에 따라 계산되는데 반하여 쿠키의 유효기간은 웹서버가 아닌 클라이언트 시스템 상에서의 시간이며, 따라서 웹서버와 서로 다른 시간대에 있을 수 있습니다. 기본값인 0은 오직 현재 방문자의 브라우저 세션을 위해서 설정되며, 방문자가 브라우저를 닫으면 만료됩니다. 브라우저를 종료하더라도 계속 쿠키가 존재하기 위해서는 유효기간을 명시하여야 합니다.
[code php;gutter:false]
// 3600초(1시간) 이후에 만료된다.
setcookie("mycookie", $value, time()+3600);
// 2002년 1월 1일에 만료된다.
setcookie("mycookie", $value, mktime(0,0,0,1,1,2002));
// 2020년 5월 12일 오후 6:30분에 만료된다.
setcookie("mycookie", $value, mktime(18,30,0,5,12,2020));
[/code]
이와 같이 유효기간을 지정하게 되면 브라우저를 종료한 뒤 다시 실행하더라도 그대로 보존되며, 지정된 시간이 되면 자동적으로 그 쿠키를 제거할 것입니다.
유효경로 지정하기
이 매개변수를 생략하는 경우에는 setcookie() 함수를 호출한 웹문서가 있는 디렉토리와 이 디렉토리의 하위 디렉토리에서만 쿠키값을 참조할 수 있게 됩니다. 따라서 PHP4 세션함수에서 사용되는 쿠키와 같이 모든 서버상의 모든 디렉토리에서 유효한 쿠키를 사용하려면 path 매개변수의 값으로 루트 디렉토리를 설정하여야 합니다. 즉, 세션함수에서의 쿠키는 "/"가 기본값이지만 setcookie() 함수에서의 기본값은 현재 디렉토리가 됩니다.
[code php;gutter:false]
setcookie("mycookie", "cookie_value", 0, "/");
[/code]
"관련서적(?)"을 보다보면 이 부분에서 다소 상이하다는 것을 알 수 있습니다. 관련서적에는 기본 동작이 "/"로 서버상의 모든 디렉토리가 유효하다고 되어 있습니다. 그러나 이는 앞의쿠키 규격에서 보았듯이 HTTP 응답헤더 Set-Cookie에 유효경로를 지정하지 않으면 웹문서가 존재하는 디렉토리 및 그 하위 디렉토리에서만 유효한 쿠키가 만들어지게 됩니다. 관련서적 저자는 세션함수와 혼동하지 않았나 생각합니다. 세션함수에서 사용하는 쿠키의 유효경로는 "/"로 되어 있습니다. 물론 php.ini의 옵션 session.cookie_path에 설정된 값이 기본값이 되는 것이지요.
유효도메인 지정하기
복수 도메인에 쿠키를 사용하기 위해서는 아래와 같이 도메인의 앞쪽 부분을 생략하여 지정하여야 합니다. ".phpclass.com"라고 지정하면 www.phpclass.com, hwooky.phpclass.com, ..... 와 같이 뒤쪽이 일치하는 모든 도메인에서 쿠키를 사용할 수 있습니다. 그러나 www.phpclass.net라는 도메인에서는 쿠키를 사용할 수 없습니다.
[code php;gutter:false]
setcookie("mycookie", "cookie_value", $expire, $path, ".phpclass.com");
[/code]
이것은 호스트 이름이 phpclass.com 도메인에 있는 모든 서버들로 쿠키를 전송하도록 브라우저에 알립니다.
쿠키의 보안 지정하기
타인으로부터 보호해야 할 민감한 정보가 쿠키에 포함되어 있을 때에 지정할 수 있는 매개변수입니다. 서버가 SSL(Secure Sockets Layer)을 지원할 때만 쿠키를 전송합니다.
배열값 쿠키 설정하기
도메인당 쿠키는 최대 20개까지 저장할 수 있다는 것은 앞에서도 언급한 바 있습니다. 그런데 관련서적을 보면 배열을 이용하면 여러 개의 값들을 하나의 쿠키에 저장시킬 수 있다고 되어 있습니다. 즉, 쿠키를 하나의 배열로 다루고, 그 배열에 있는 각 구성 요소에 값을 지정하는 것입니다. 그리고 이러한 경우의 예를 아래와 같다고 하였습니다. 아래의 예제들은 거의 모두 PHP 3.0.14에서 실험한 결과입니다.
[code php;gutter:false]
if (!isset($mycookie[0])) {
setcookie("mycookie[0]", "hwooky");
}
$mycookie[1]++;
setcookie("mycookie[1]", $mycookie[1]);
echo ("Hello $mycookie[0], you've seen this page " .
$mycookie[1] . ($mycookie[1] == 1 ? " time!" : " times!"));
[/code]
그러나 위와 같은 방법으로 배열 각 요소를 쿠키에 저장하게 되면 역시 각 배열 요소가 하나의 쿠키로 저장되기 때문에 20개가 넘는 배열 요소를 저장할 수 없습니다. 아래는 이 때 생성되는 쿠키입니다.
mycookie[1]
7
www.safety.katri/exam2/cookie/
0
2023223680
29397420
3081596640
29397410
*
mycookie[0]
hwooky
www.safety.katri/exam2/cookie/
0
1993223680
29397420
3054096640
29397410
*
그러면 실제로 20개가 넘는 배열 요소를 가지고 위와 같은 방법으로 쿠키를 구워 보도록 하죠. 아래는 이러한 경우의 예입니다.
[code php;gutter:false]
<?php
for ($i=0;$i<26;$i++)
setcookie("cookie[$i]", "$i");
if (!isset($cookie)) {
echo "<META http-equiv='Refresh' content='0; URL=$PHP_SELF'>";
exit;
}
?>
<P>document.cookie에서 확인한 쿠키정보</P>
<SCRIPT language=JavaScript>
<!--
cookie_str = document.cookie;
while (-1 != cookie_str.indexOf(';')) {
current = cookie_str.substring(0, cookie_str.indexOf(';')+1);
cookie_str = cookie_str.substring(cookie_str.indexOf(';')+1);
document.write(current + '\n');
}
document.write(cookie_str + '\n');
//-->
</SCRIPT>
[/code]
위 소스코드를 실행하면 아래와 같이 20개의 배열요소만 쿠키에 저장되어 있는 것을 확인할 수 있습니다. 여기서 하나 더 주의깊게 살펴볼 것이 있습니다. 쿠키를 구워낸 순서와 반대로 저장된다는 것입니다. 이것은 PHP3에서의 결과이며 뒤에서도 언급하겠지만 PHP4에서는 이 순서가 뒤바뀌게 됩니다.
document.cookie에서 확인한 쿠키정보
cookie[19]=19;
cookie[18]=18;
cookie[17]=17;
cookie[16]=16;
cookie[15]=15;
cookie[14]=14;
cookie[13]=13;
cookie[12]=12;
cookie[11]=11;
cookie[10]=10;
cookie[9]=9;
cookie[8]=8;
cookie[7]=7;
cookie[6]=6;
cookie[5]=5;
cookie[4]=4;
cookie[3]=3;
cookie[2]=2;
cookie[1]=1;
cookie[0]=0
쿠키를 구워낼 때 배열 요소 대신에 배열명을 지정하면 어떻게 될까요? 지금부터 알아보도록 하겠습니다.
[code php;gutter:false]
<?php
if (!isset($mycookie)) {
$mycook = array("mycook1"
, "mycook2"
, "mycook3"
, "mycook4"
, "mycook5"
, "mycook6"
, "mycook7"
, "mycook8"
, "mycook9"
, "mycook10"
, "mycook11"
, "mycook12"
, "mycook13"
, "mycook14"
, "mycook15"
, "mycook16"
, "mycook17"
, "mycook18"
, "mycook19"
, "mycook20"
, "mycook21"
, "mycook22"
, "mycook23"
, "mycook24"
, "mycook25"
);
setcookie("mycookie", $mycook, time()+3600);
die("<META http-equiv='Refresh' content='0; URL=$PHP_SELF'>");
} else {
setcookie("mycookie", "", time()-3600*24*365);
if (is_array($mycookie))
while (list($name,$value)=each($mycookie))
echo "$name=$value\n";
else
echo "(no array)$mycookie\n";
}
?>
[/code]
실행 결과는 아래와 같습니다.
(no array)Array
서버에서 받은 쿠키를 확인하면 배열값이 넘어오는 것이 아니라 단순 문자열 "Array"가 넘어온다는 것을 알 수 있습니다. 그럼 실제로 로컬 시스템에 저장된 쿠키는 어떻게 되었을까요? 그것을 알아보기 위해 로컬시스템에 저장된 쿠키파일을 살펴보았습니다. 아래는 위의 소스를 익스 5.0에서 실행한 후에 "c:\windows\cookies\hwooky@cookie[1].txt"에 저장된 쿠키 파일 내용입니다.
mycookie
Array
www.safety.katri/exam2/cookie/
0
2298062848
34459487
537668192
29397773
*
첫번째 줄의 mycookie가 쿠키명이고, Array가 쿠키값입니다. 각 배열요소값은 저장되지 않고 setcookie("mycookie", $mycook, time()+3600)를 이용해 쿠키를 만들 때 값으로 지정된 배열변수 $mycook의 변수형만 쿠키파일에 저장되는 것을 볼 수 있습니다. 그러면 쿠키를 서버에서 클라이언트로 보낼 때 배열요소값은 생략하고 변수형 "Array"라는 문자열만 보낸 것이 아닐까요? 서버에서 클라이언트로 쿠키를 보낼 때 쿠키정보를 응답헤더에 첨부해서 보낸다는 것은 앞장에서 살펴보았습니다. 그래서 실제로 어떤 정보를 응답헤더에 첨부해서 클라이언트로 보내는지 확인하기 위해 응답헤더를 직접 확인하였습니다. 아래는 위의 소스를 실행할 때 발생하는 응답헤더를 모니터링한 것입니다.
http/1.1 200 ok:
date: Tue, 06 Feb 2001 12:57:21 GMT
server: Apache/1.3.14 (Unix) PHP/4.0.3pl1 PHP/3.0.14
x-powered-by: PHP/3.0.14
set-cookie: mycookie=Array; expires=Tuesday, 06-Feb-01 13:57:21 GMT
connection: close
content-type: text/html
위의 응답헤더를 보면 알겠지만 클라이언트로 보내는 쿠키정보에는 $mycook 변수형만 첨부되어 있지 배열요소는 클라이언트로 보내지 않는다는 것을 알 수 있습니다. 이를 다시 확인하기 위해 브라우저에서 서버로 보내지는 환경변수 "HTTP_COOKIE"를 확인하여 보겠습니다. 브라우저에 있는 쿠키 정보는 요구헤더를 통해 웹서버로 전달되며 웹서버가 요구헤더를 이용하여 환경변수 "HTTP_COOKIE"를 설정하도록 되어 있습니다. 요구헤더에 포함된 쿠키정보의 구조에 대하여는 앞장에서 살펴보았습니다.
[code php;gutter:false]
<?php
if (!isset($mycookie)) {
$mycook = array("mycook1"
, "mycook2"
, "mycook3"
, "mycook4"
, "mycook5"
, "mycook6"
, "mycook7"
, "mycook8"
, "mycook9"
, "mycook10"
, "mycook11"
, "mycook12"
, "mycook13"
, "mycook14"
, "mycook15"
, "mycook16"
, "mycook17"
, "mycook18"
, "mycook19"
, "mycook20"
, "mycook21"
, "mycook22"
, "mycook23"
, "mycook24"
, "mycook25"
);
setcookie("mycookie", $mycook, time()+3600);
die("<META http-equiv='Refresh' content='0; URL=$PHP_SELF'>");
} else {
setcookie("mycookie", "", time()-3600*24*365);
if (is_array($mycookie))
while (list($name,$value)=each($mycookie))
echo "$name=$value\n";
else
echo "ENV=[".getenv("HTTP_COOKIE")."]\n";
}
?>
[/code]
위 소스의 실행 결과는 다음과 같습니다. 실행 결과를 보면 알겠지만 환경변수 "HTTP_COOKIE"를 통해 전달되는 쿠키정보는 "mycookie=Array"이 전부입니다. 결국 배열 $mycook의 값을 쿠키로 굽더라도 브라우저에 저장된 쿠키값은 배열요소 전부가 아니라 변수형 "Array"만 쿠키파일에 저장된다는 것을 알 수 있습니다.
ENV=[mycookie=Array]
이러한 현상은 setcookie() 함수 대신에 아래와 같이 직접 header() 함수를 이용할 때도 동일하게 나타납니다.
[code php;gutter:false]
$expires = gmdate("D, j-M-Y H:i:s", time() + 3600)." GMT";
header("Set-Cookie: mycookie=$mycook; expires=$expires");
[/code]
쿠키정보를 브라우저로 보내려면 setcookie() 함수를 이용하지만 PHP 스크립터 내부에서는 최종적으로 php3_header() 함수를 통해 응답헤더의 일부로 쿠키정보를 브라우저에 전달합니다. 아래는 PHP3.0.14 소스파일 head.c에 있는 아파치 웹서버에 대한 php3_header() 함수를 요약한 것입니다.
[code c;gutter:false]
/*
소스 파일 위치 : ......\php-3.0.14\functions\head.c
*/
PHPAPI int php3_header(void)
{
......(중간생략)......
cookie = php3_PopCookieList();
while (cookie) {
if (cookie->name)
len += strlen(cookie->name);
if (cookie->value) {
cookievalue = _php3_urlencode(cookie->value, strlen (cookie->value));
len += strlen(cookievalue);
}
......(중간생략)......
tempstr = emalloc(len + 100);
if (!cookie->value || (cookie->value && !*cookie->value)) {
......(중간생략)......
} else {
/* FIXME: XXX: this is not binary data safe */
sprintf(tempstr, "%s=%s", cookie->name, cookie->value ? cookievalue : "");
if (cookie->name) efree(cookie->name);
if (cookie->value) efree(cookie->value);
if (cookievalue) efree(cookievalue);
cookie->name=null;
cookie->value=null;
cookievalue=null;
if (cookie->expires > 0) {
strcat(tempstr, "; expires=");
dt = php3_std_date(cookie->expires);
strcat(tempstr, dt);
efree(dt);
}
}
if (cookie->path && strlen(cookie->path)) {
strcat(tempstr, "; path=");
strcat(tempstr, cookie->path);
efree(cookie->path);
cookie->path=null;
}
if (cookie->domain && strlen(cookie->domain)) {
strcat(tempstr, "; domain=");
strcat(tempstr, cookie->domain);
efree(cookie->domain);
cookie->domain=null;
}
if (cookie->secure) {
strcat(tempstr, "; secure");
}
table_add(GLOBAL(php3_rqst)->headers_out, "Set-Cookie", tempstr);
if (cookie->domain) efree(cookie->domain);
if (cookie->path) efree(cookie->path);
if (cookie->name) efree(cookie->name);
if (cookie->value) efree(cookie->value);
if (cookievalue) efree(cookievalue);
efree(cookie);
cookie = php3_PopCookieList();
efree(tempstr);
}
GLOBAL(php3_HeaderPrinted) = 1;
GLOBAL(header_called) = 1;
send_http_header(GLOBAL(php3_rqst));
......(중간생략)......
}
......(중간생략)......
GLOBAL(header_is_being_sent) = 0;
return(1);
}
[/code]
위 함수에는 응답헤더에 포함되는 쿠키 정보 문자열 "set-cookie: mycookie=Array; expires=Tuesday, 06-Feb-01 13:57:21 GMT"을 만드는 과정이 나와 있고 최종적으로는 모든 작성된 쿠키 정보 문자열들을 브라우저로 전송(함수 send_http_header)하는 것으로 함수가 종료됩니다. 함수를 분석해 보면 _php3_urlencode(cookie->value, strlen (cookie->value))에 의해 배열에 대한 쿠키값이 "Array"로 변환되는 것을 볼 수 있고 배열요소가 쿠키 정보 문자열에 포함되지 않는다는 것을 알 수 있습니다. 여기에서 배열요소는 모두 사라지게 되는 것입니다.
하나의 쿠키에 배열을 담기 위한 노력
배열요소가 20개 이상 존재한다면 그대로 쿠키로 저장할 수는 없습니다. 이때는 배열을 직렬화(serialize)하여 하나의 문자열로 만든 다음 이 문자열을 쿠키로 만드는 것입니다. 쿠키를 읽어 들일 때는 반대로 문자열을 원래의 배열로 만들기 위해 unserialize 하는 것입니다. 이러한 방법은 세션함수에서 이용하는 방법으로 가장 신뢰성있는 방법입니다.
[code php;gutter:false]
<?php
if (!isset($mycookie)) {
$mycook = array("mycook1"
, "mycook2"
, "mycook3"
, "mycook4"
, "mycook5"
, "mycook6"
, "mycook7"
, "mycook8"
, "mycook9"
, "mycook10"
, "mycook11"
, "mycook12"
, "mycook13"
, "mycook14"
, "mycook15"
, "mycook16"
, "mycook17"
, "mycook18"
, "mycook19"
, "mycook20"
, "mycook21"
, "mycook22"
, "mycook23"
, "mycook24"
, "mycook25"
);
$value = serialize($mycook);
setcookie(
"mycookie",
get_magic_quotes_gpc() ? $value : addslashes($value),
time+3600
);
die("<META http-equiv='Refresh' content='0; URL=$PHP_SELF'>");
} else {
setcookie("mycookie", "", time()-3600*24*365);
$mycook = unserialize(stripslashes($mycookie));
if (is_array($mycook))
while (list($name,$value)=each($mycook))
echo "$name=$value\n";
else
echo "ENV=[".getenv("HTTP_COOKIE")."]\n";
}
?>
[/code]
위에서 get_magic_quotes_gpc()를 이용하는 부분이 있을 것입니다. php.ini 설정 파일에 있는 옵션 magic_quotes_gpc의 설정상태에 따라 적절히 처리해 주지 않으면 저장된 쿠키를 제대로 읽을 수가 없습니다. 제가 공개한 세셔너 또는 쿠키 관련 자료들이 제대로 동작하지 않는다면 이 부분을 의심해 보아야 합니다. 제가 실험한 웹서버의 환경에서는 magic_quotes_gpc의 값이 ON으로 설정되어 있기 때문에 저장된 값에는 '(single-quote), "(double-quote), \(backslash), 널(NUL) 들의 앞에 백슬래시가 자동으로 붙게 됩니다. 따라서 이러한 경우에는 쿠키를 읽을 때 반드시 stripslashes() 함수를 이용하여 자동으로 붙은 백슬래시를 제거해야 합니다. 그런데 여러분의 웹서버 환경에서 magic_quotes_gpc의 값이 OFF로 되어 있다면 제가 공개한 자료들이 실행에 문제가 생길 수 있습니다. 단순한 숫자나 영문자로 구성된 쿠키값일 때는 관계없으나 serialize() 함수로 직렬화된 문자열의 경우는 꼭 문제가 생기지요. get_magic_quotes_gpc() 부분을 삽입한 것은 웹서버의 설정상태에 관계없이 동작시키기 위해 작성된 것이니 참조바랍니다.
위 소스의 실행 결과는 다음과 같습니다. 이제야 제대로 배열이 저장되는 것 같네요.
0=mycook1
1=mycook2
2=mycook3
3=mycook4
4=mycook5
5=mycook6
6=mycook7
7=mycook8
8=mycook9
9=mycook10
10=mycook11
11=mycook12
12=mycook13
13=mycook14
14=mycook15
15=mycook16
16=mycook17
17=mycook18
18=mycook19
19=mycook20
20=mycook21
21=mycook22
22=mycook23
23=mycook24
24=mycook25
쿠키 사용을 위한 PHP 설치 옵션
쿠키로부터 전달받은 값이 서버 설치 옵션에 따라 전역변수로 받을 수도 있고 전역배열변수 $HTTP_COOKIE_VARS[]로 받을 수도 있습니다.
그런데 $HTTP_COOKIE_VARS[]을 언제나 사용할 수 있는 것은 아니고, PHP를 서버에 설치할 때 지정한 옵션에 따라 달라지지요. $HTTP_COOKIE_VARS[]와 관련된 서버 세팅은 두가지입니다. 하나는 소스 컴파일할 때 "--enable-track-vars"라는 설정옵션을 지정하여야 합니다. 두번째는 "--enable-track-vars"를 지정하여 소스 컴파일을 하더라도 php.ini 파일에 있는 track_vars 지시자에 의해 $HTTP_COOKIE_VARS[]를 Enable 할 수도 있고 Disable 할 수도 있습니다. 아래와 같이 track_vars 지시자를 Enable 하십시요.
php.ini의 내용중
================
track_vars = On ; enable the $HTTP_*_VARS[] arrays, where * is one of
; ENV, POST, GET, COOKIE or SERVER.
만약 여러분의 서버가 "--enable-track-vars"를 지정하여 소스 컴파일되어 있지 않다면 PHP_COOKIE_VARS를 사용하시기 전에 문서 최상단에 아래와 같이 php_track_vars 지시자를 사용하세요.
[code php;gutter:false]
<?php_track_vars?>
<?php
.
.
.
?>
[/code]
주의할 점은 php_track_vars 지시자가 PHP3에서만 제대로 동작되며, PHP4부터는 php_track_vars 지시자를 사용하지 않습니다. PHP4에서 track_vars 의 설정값이 "1"일 때에 php_track_vars 지시자를 사용하게 되면 아래와 같은 에러가 발생합니다.
Warning: <?php_track_vars?> is no longer supported
- please use the track_vars INI directive instead in ...... on line ???
PHP 4.0.3부터는 track_vars가 자동적으로 (항상) ON 상태입니다. 따라서 PHP 4.0.3부터는 php.ini의 track_vars의 설정 상태에 관계없이 php_track_vars 지시자를 사용하면 무조건 위와 같은 에러가 발생합니다.
PHP의 변수이름은 알파뉴머릭과 밑줄로만 이루어져 있습니다. 만약 쿠키명에 유효하지 않은 문자들이 포함되어 있다면 유효하지 낳은 문자들은 밑줄(_)로 변환됩니다. 예를 들어, 쿠키명 "in%va.lid_"는 "in_va_lid_"로 변환됩니다.
$HTTP_COOKIE_VARS[]를 사용하여야 할 이유는?
$HTTP_COOKIE_VARS["username"] 대신에 전역변수 $username를 사용하여도 동작결과는 동일합니다. 그러면 언제 $HTTP_COOKIE_VARS[]을 사용하여야 할까요? 이전페이지에서 세션값, GET, POST, 쿠키로 넘어 오는 모든 값은 전역변수로 넘어올 수도 있고 $HTTP_SESSION_VARS[], $HTTP_GET_VARS[], $HTTP_POST_VARS[], $HTTP_COOKIE_VARS[]와 같은 전역 배열 변수로도 넘어오지요. 여기서 보았듯이 배열로 넘어오는 값들은 각 요소(세션, GET, POST, 쿠키)마다 서로 다른 배열변수에 담겨오기 때문에 배열변수가 무엇이냐에 따라 넘어온 값이 어떠한 성격을 가지고 있는지 파악할 수 있습니다. 그러나 전역변수로 넘어온 값은 전역변수명만을 가지고는 그 값이 세션값이었는지, HTTP GET 방식으로 넘어왔는지, HTTP POST 방식으로 넘어왔는지, 쿠키값이었는지가 구분이 되지 않습니다. 사용상의 편이성만으로만 보면 전역변수를 사용하는 것이 좋겠지요. 그러나 보안이라는 측면에서 보면 넘어온 값의 성격을 구분하지 못할 때는 문제가 발생할 수 있습니다. 예를 들어 앞장(home.php)에서 아래와 같이 HTTP POST 방식으로 userid와 passwd값을 입력받아 서브밋하였습니다.
[code php;gutter:false]
<FORM name=getID method="post" action="login_process.php">
<P>사용자ID : <INPUT type="text" name="login_userid" size="15"></P>
<P>비밀번호 : <INPUT type="password" name="login_passwd" size="15"></P>
</FORM>
[/code]
이 값을 다음 장(login_process.php)에서 받았을 때 $HTTP_POST_VARS[] 배열을 사용하지 않고 전역변수 $login_userid, $login_passwd를 직접 사용한다면 이 값이 꼭 앞장 양식에서 입력되어 들어온다는 보장이 없습니다. 누군가가 부당한 목적을 위해 앞장을 통하지 않고 아래와 같이 URL 파라미터로 값을 입력할 수도 있지요.
login_process.php?login_userid=user3&login_passwd=test
위와 같이 URL 파라미터로 login_process.php 페이지로 $login_userid, $login_passwd 값을 전달할 수 있지요.
아래와 같은 세션값도 마찬가지입니다. $access_userid 값과 $access_userid 값은 login_process.php 페이지에서 home.php 페이지로 세션을 통해 비밀스럽게(?) 전달되어 인증처리를 하여야 하는데 역시 누군가가 부당한 목적을 위해 세션을 통하지 않고 URL 파라미터를 통해 $access_userid 값과 $access_userid 값을 home.php 페이지로 전달할 수 있지요.
이것을 방지하기 위해 각 요소(세션, GET, POST, 쿠키)마다 배당된 다른 배열변수를 이용해 전역변수를 덮어쓰기하는 것입니다.
보안상 신경쓰지 않아도 되는 전역변수 값이야 이렇게 할 필요가 없으나 인증에 필요한 값들은 불편하더라도 이같은 코딩 습관에 익숙하시는 것이 바람직합니다.
공개 소스 중에는 이렇게까지 하지 않는 경우도 많이 있으나 여러분이 이러한 면에도 관심을 가져주었으면 해서 때에 따라서는 불필요할 지도 모르지만 코드를 일부로 포함시켰습니다.
쿠키 삭제하기
쿠키는 보통 setcookie() 함수의 첫번째 매개변수만으로 삭제할 수 있습니다.
[code php;gutter:false]
setcookie("mycookie");
[/code]
그러나 때에 따라서는 첫번째 매개변수만 지정할 경우 해당 쿠키가 삭제되지 않는 경우를 볼 수 있습니다. 이것은 쿠키를 설정할 때 유효도메인, 유효경로를 지정한 경우가 대부분입니다. 이와 같은 경우에는 쿠키 설정할 때 지정된 유효도메인과 유효경로를 삭제시에도 지정하여야 합니다.
[code php;gutter:false]
setcookie("mycookie", "cookie_value", 0, "/exam", ".phpclass.com");
[/code]
예를 들어 쿠키 설정할 때 위와 같이 지정하였다면, 쿠키 삭제할때는 아래와 같이 지정하여야 합니다. 삭제할 때 유효기간 설정값은 예를 들은 것 뿐이며 적절한 과거 시점을 지정하면 됩니다.
[code php;gutter:false]
setcookie("mycookie", "", time()-31536001, "/exam", ".phpclass.com");
[/code]
현재 설정된 쿠키 변수들에는 영향을 미치지 않으며, 또한 $HTTP_COOKIE_VARS[]도 변경시키지 않는다.
쿠키의 생성, 참조, 삭제되는 시점
setcookie() 함수로 쿠키를 생성하거나 삭제하더라도 새로운 HTTP 요구(require)가 없으면 이 쿠키에 대한 정보가 쿠키용 전역변수 또는 전역배열변수 $HTTP_COOKIE_VARS[]에 적용되지 않습니다. 이러한 setcookie() 함수의 동작원리를 잘 이해하고 있어야 합니다. 따라서 위에서와 같이 setcookie("mycookie")를 통해 쿠키를 삭제하더라도 현재 설정된 쿠키 전역변수와 전역배열변수 $HTTP_COOKIE_VARS[]의 내용은 계속 유지됩니다. setcookie() 함수를 통해 쿠키를 생성하면 이 값은 로컬시스템(사용자 하드드라이브)에 저장되었다가 다음 페이지를 읽을 때 쿠키정보를 서버로 보내게 됩니다. 서버는 이 쿠키정보를 이용하여 전역변수값으로 설정해 주지요.
setcookie() 함수 사용시 발생하는 에러
setcookie() 함수를 사용하는 데 주의 할 점이 있습니다. setcookie() 함수는 일반적인 HTML 태그 또는 PHP로부터 보내지는 실제의 출력 이전에 호출되어야 합니다. setcookie() 함수를 호출하기 전에 include() 또는 auto_prepend를 통하여 코드를 읽어들일 수 있는데 이러한 코드에 브라우저로 출력되는 스페이스 또는 빈줄이 있으면 에러가 발생합니다. 이 에러에 대한 것은 제 홈페이지의 Q&A 게시판에서 언급되어 있으며, 메뉴 "후키라이브러리 >> 캐시리미터 >> 헤더 관련 PHP 함수" 의 header() 함수에서도 언급되어 있으니 참조바랍니다. 아래는 이 때 PHP3 및 PHP4에서 발생하는 에러메시지입니다.
PHP3일 때
=========
Warning: Oops, php3_SetCookie called after header has been sent
in /home/....../test.php3 on line ???
PHP4일 때
=========
Warning: Cannot add header information - headers already sent by
(output started at /home/....../test.php:3)
in /home/....../test.php on line ???
setcookie() 함수 호출 순서
PHP3에서의 실험
PHP는 쿠키들을 PHP 스크립트에 있는 setcookie() 호출들의 순서와 역순으로 서버로 전달합니다. 앞에서 배열요소를 쿠키에 저장할 때도 확인하였습니다. 어떻게 해서 이런 현상이 발생하였을까요? 이를 확인하기 위해 다시 소스코드를 분석해 보겠습니다. 아래는 PHP3.0.14 소스파일 head.c에 있는 아파치 웹서버에 대한 php3_header() 함수 및 _php3_SetCookie() 함수를 요약한 것입니다. head.c 파일은 PHP3.0.14 소스파일의 압축을 풀면 php-3.0.14\functions\head.c에 있습니다.
[code c;gutter:false]
void _php3_SetCookie(char * name, char * value, time_t expires
, char * path, char * domain, int secure)
{
......(중간생략)......
if (name) name = estrdup(name);
if (value) value = estrdup(value);
if (path) path = estrdup(path);
if (domain) domain = estrdup(domain);
php3_PushCookieList(name, value, expires, path, domain, secure);
}
[/code]
SetCookie() 함수는 내부적으로 결국 _php3_SetCookie() 함수를 실행하게 되어있는데 이 함수가 하는 일이라고는 단지 쿠키 설정 정보들을 CookieList라는 스택 자료 구조에 저장(Push)하는 것 뿐입니다.
[code c;gutter:false]
PHPAPI int php3_header(void)
{
......(중간생략)......
cookie = php3_PopCookieList(); //<-- 스택으로부터 데이터를 가져음
while (cookie) {
......(중간생략)......
cookie = php3_PopCookieList(); //<-- 스택으로부터 데이터를 가져옴
efree(tempstr);
}
......(중간생략)......
send_http_header(GLOBAL(php3_rqst)); //<-- 응답헤더 전송
......(중간생략)......
return(1);
}
[/code]
응답헤더를 통해 보낼 정보(쿠키정보 포함)가 다 모아지면 php3_header() 함수를 실행하게 됩니다. 이 함수를 살펴보면 위에서와 같이 SetCookie() 함수를 통해 스택 CookieList에 모아진 자료를 하나씩 차례로 불러와 헤더 정보에 추가하는 것을 알 수 있습니다.
자료구조론을 읽어보신 분은 이미 이해하셨겠지만 CookieList가 스택구조다 보니 저장(Push)될 때와 반대의 순서로 읽어(Pop) 들인다는 것(후입선출구조)입니다. 그러니 응답헤더에 포함되는 순서가 SetCookie() 함수 실행순서와 뒤바뀌게 되고 결국 쿠키가 구워지는 순서가 뒤바뀌게 되는 것이지요.
제가 공개하는 쿠커(Cooker)와 같이 때에 따라서는 이 순서가 바뀌면 안돼는 웹애플리케이션도 필요할 것입니다. 이러한 경우는 어떻게 해야 할까요. 해결방법은 두가지, 자바스크립트를 이용하던가 아니면 header() 함수를 이용하시면 됩니다. 쿠커에서는 이 문제때문에 setcookie() 함수 대신에 header() 함수를 이용하였습니다.
setcookier() 호출 순서와 역순으로 브라우저에서 쿠키가 생성되거나 삭제되기 때문에 만약 동일한 이름을 가진 쿠키를 삭제하고 새롭게 다른 값으로 설정하기를 원한다면 setcookie()로 새로운 쿠키를 먼저 설정한 다음, 나중에 다시 setcookie()를 호출하여 예전의 쿠키를 삭제해야 합니다.
[code php;gutter:false]
<?php
// 새로운 쿠키를 설정
setcookie("mycookie", "cookie_value");
// 예전의 쿠키를 삭제
setcookie("mycookie");
?>
[/code]
PHP4에서의 실험
실험까지는 하지 않았고 PHP4 메뉴얼에 의하면 setcookie() 함수 호출 순서와 서버로 전달되는 순서가 같게 변경되었습니다. 제 개인 생각으로도 PHP4에서의 방법이 옳지 않나 생각합니다. 뒤에서 언급된 쿠키정보클래스 "쿠커(Cooker)에서도 이 호출순서와 서버로 전달되는 순서가 역순이라 setcookie() 함수를 사용할 수가 없었습니다. 그래서 setcookie() 함수 대신에 header() 함수를 직접 이용하게 되었지요. 쿠커를 작성할 때 PHP4에서는 setcookie() 함수를 사용해도 되겠지만 PHP3와의 호환성을 위해 setcookie() 함수를 사용하지 않았습니다.
invalid-file
