クッキーとセッション：サイト訪問者の情報を覚えておくための仕組み

連載 :

2015年11月2日(月)

はじめに

これから始めるPHP入門コラムでは、PHPを学ぶ人が、PHPで簡単なプログラムを書けるようになるまでに必要な知識とポイントをTips的に書いていきます。今後PHPのスキルを身につけて仕事に役立てたい、という方のために「PHP技術者認定初級試験」の出題範囲を意識しながら進めていきますので、ぜひ最後までお付き合いください。

今回のあらすじ

クッキー
セッション
ログイン・ログアウトの仕組みを作る

クッキー

Webの仕組みにはHTTPクッキー（Cookie）という技術があり、これを使うと次のようなことができます。

同じブラウザから何回アクセスされたか分かる
前回入力したユーザー名が分かる
前回のアクセス時にカートに入れた商品の一覧が分かる
ログイン・ログアウトの仕組みを作れる

クッキーとは、Webブラウザに文字列データを保存したり、保存したデータを取得したりする機能です。例えば上記の「同じブラウザから何回アクセスされたか分かる」を実現するためには、ブラウザからアクセスがあるたびに、現在のアクセス数に+1してクッキーに保存しておきます。

図1：クッキー情報は、Webブラウザ側に保存される

クッキーを保存する

PHPは、このクッキーを完全にサポートしています。クッキーを保存するためには、setcookie関数を使用します。

setcookie

http://php.net/manual/ja/function.setcookie.php

1<?
2// クッキーを保存する
3// 名前：access_count
4// データ：0
5setcookie("access_count", 0);
6?>

クッキーを取得する

保存したクッキーは、$_COOKIEというグローバル変数を使って取得することができます。

01<?php
02// クッキーを取得する
03// 名前：access_count
04$count = $_COOKIE["access_count"] + 1;
05 
06echo $count . "回目のアクセスありがとうございます。";
07 
08// クッキーを保存する
09// 名前：access_count
10// データ：現在値+1
11setcookie("access_count", $count + 1);
12?>

クッキーの有効期限を設定する

クッキーは、いつまで保存されるのでしょうか。デフォルトでは、ブラウザを閉じたときに破棄されます。クッキーが破棄される時間（Unixタイムスタンプ）を指定したい場合は、setcookieに引数を追加します。

1<?php
2// クッキーの有効期限を1時間（3600秒）後に設定する
3setcookie("testData", "TEST", time() + 3600);
4// クッキーの有効期限を30日後に設定する
5setcookie("testData", "TEST", time() + time() + 60 * 60 * 24 * 30);
6?>

クッキーを削除する

クッキーを削除するには、以下の方法があります。

クッキーのデータを空文字にする
クッキーのデータをfalseにする
クッキーの有効期限を過去にする

01<?php
02// クッキーを設定する
03setcookie("testData", "TEST");
04// クッキーを削除する(A)
05setcookie("testData", "");
06// クッキーを削除する(B)
07setcookie("testData", false);
08// クッキーを削除する(C)
09setcookie("testData", "TEST", time() - 3600);
10?>

クッキーを使用する際の注意

クッキーはHTTPヘッダの一部なので、setcookie()はブラウザに何らかの出力を行う前に呼び出す必要があります。この制約は、header()と同じです。

セッション

セッションは、ログイン情報を保持するためによく使用されます（方法は後述）。PHPのセッションは、PHPSESSIDという名前のクッキーを使用します。PHPSESSIDにIDが保存されていれば、PHPはそのセッションIDを自動的にWebサーバ上のファイル、またはデータベースに保存されているデータと関連付けます（図2）。

図2：PHPでは特別な名前のクッキーを用いて、セッションを実現している

プログラムを書く上でPHPSESSIDの扱いを気にする必要はありません。Webサーバ上で管理されるセッションデータは、$_SESSIONというグローバル変数を使って管理することができます。

セッションデータを保存する

セッションを使用するためには、スクリプトの最初でsession_start関数を呼ぶ必要があります。session_start関数を呼ぶと、ブラウザのPHPSESSIDとWebサーバのセッションデータを使うための準備がされます。

session_start

http://php.net/manual/ja/function.session-start.php

1<?php
2// セッション開始
3session_start();
4 
5// 入力されたユーザー名を保存する
6$_SESSION["user_name"] = $_POST["user_name"];
7 
8echo "こんにちは、" . $_SESSION["user_name"] . "さん。";
9?>

セッションデータを取得する

01<?php
02// セッション開始
03session_start();
04 
05// 保存されたセッションデータを取得する
06$user_name = $_SESSION["user_name"];
07 
08if ($user_name != "") {
09echo "こんにちは、" . $user_name . "さん。";
10}
11else {
12echo "ユーザー名を入力してください。";
13}
14?>

セッションデータを削除する

$_SESSION配列から、unset関数を使って削除したいデータを破棄します。

unset

http://php.net/manual/ja/function.unset.php

1<?php
2// セッション開始
3session_start();
4 
5// 保存されたセッションデータを削除する
6unset($_SESSION["user_name"]);
7?>

ログイン・ログアウトの仕組みを作る

01<?php
02// セッション開始
03session_start();
04 
05$loginId = $_POST["login_id"]; // フォームに入力されたログインID
06$loginPw = $_POST["login_pw"]; // フォームに入力されたログインパスワード
07 
08// ログインチェック（checkLogin関数の実装は省略）
09// 成功するとユーザー情報が配列で返ってくるものとします
10$user_data = checkLogin ($loginId, $loginPw);
11 
12// 入力されたIDとパスワードに一致するユーザーが存在する場合
13If ($user_data! == False) {
14    // セッションにユーザーIDを保存しておく
15    $_SESSION ["user_id"] = $user_data ["user_id"];
16}
17 
18// ログイン中？（セッションにユーザーIDがある？）
19if (array_key_exists("user_id", $_SESSION)) {
20    echo "ログインできました。ようこそ。";
21}
22// ログアウト中？（セッションにユーザーIDがない？）
23else {
24    echo "ログインしてください。";
25}
26?>

ログアウト

ログインしているかどうかは、セッションデータに既定のデータが存在するかどうかで判断しました。ログアウトはこの反対で、既定のデータをセッションから削除することで実装できます。

01<?php
02// セッション開始
03session_start();
04 
05// ログイン中？（セッションにユーザーIDがある？）
06if (array_key_exists("user_id", $_SESSION)) {
07    // ログアウト（セッションデータを削除）する
08    unset($_SESSION["user_id"]);
09}
10?>