**쿠키(cookie)**는 브라우저에 저장되어 각 요청과 함께 전송되는 작은 데이터 조각이고, **세션(session)**은 세션 ID 쿠키로 식별되어 서버에 데이터를 저장합니다. 둘이 함께 무상태(stateless)인 HTTP 프로토콜에서 상태를 가능하게 합니다 — 로그인, 장바구니, 환경설정에 필수적입니다.
(, , [
=> () + , // 일
=> , // ❗ JavaScript가 읽을 수 없음 (XSS 보호)
=> ,
=> ,
]);
= [] ?? ;
쿠키는 브라우저에 존재하며 모든 요청과 함께 전송됩니다. 보안 플래그가 중요합니다. httponly(JS 접근 차단 — XSS 탈취 방지), secure(HTTPS 전용), samesite(CSRF 보호).
<?php
session_start(); // 세션 시작/재개 (세션 ID 쿠키 설정) — 출력 전에
// 서버에 데이터 저장 (브라우저 쿠키에는 세션 ID만)
$_SESSION["user_id"] = 42;
$_SESSION["username"] = "ann";
// 이후 요청에서 읽기 (session_start 후)
$userId = $_SESSION["user_id"] ?? null;
// 지우기/파괴
unset($_SESSION["user_id"]);
session_destroy();
세션은 데이터를 서버 측에 저장하고, 브라우저는 사용자를 서버 데이터에 연결하는 세션 ID 쿠키만 보유합니다. 이로써 민감한 데이터(예: user_id)를 클라이언트 밖에 둡니다. session_start()는 모든 출력 전에 실행되어야 합니다.
쿠키 → 브라우저에 데이터 저장, 매 요청 전송, 크기 제한, 사용자에게 보임
→ 비민감 환경설정(테마), 또는 세션 ID 자체에 사용
세션 → 서버(DB/Redis/파일)에 데이터 저장, 쿠키에는 ID만
→ 민감/대용량 데이터(사용자 신원, 장바구니)에 사용 — 비밀은 서버 측에 유지
✓ httponly + secure + samesite 쿠키 사용 (XSS & CSRF 보호)
✓ 로그인 시 세션 ID 재생성: session_regenerate_id(true) (고정 공격 방지)
✓ 쿠키에 비밀을 저장하지 말 것; 민감한 데이터는 세션(서버 측)에 유지
✓ 세션 쿠키가 가로채이지 않도록 HTTPS 사용
세션과 쿠키는 웹 개발에 기초적입니다 — HTTP는 무상태이므로, 이들은 애플리케이션이 요청 간 상태를 유지하는 방식(사용자 로그인 유지, 장바구니 기억, 환경설정 저장)이며, 거의 모든 대화형 PHP 애플리케이션에 필수적입니다.
그 구분을 이해하는 것이 중요합니다. 쿠키는 브라우저에 데이터를 저장하고(매 요청 전송, 비민감 환경설정이나 세션 ID 보유에 적합), 세션은 서버에 데이터를 저장합니다(브라우저에는 세션 ID 쿠키만) — 사용자 신원 같은 민감한 데이터를 안전하게 서버 측에 둡니다.
결정적으로, 이는 보안에 민감한 영역입니다. 보호 쿠키 플래그(**httponly**로 JavaScript 접근 차단 및 XSS 기반 탈취 방지, **secure**로 HTTPS 전용, **samesite**로 CSRF 보호)를 사용하고, 로그인 시 세션 ID를 재생성하며(세션 고정 공격 방지), 쿠키에 비밀을 두지 않고(세션의 서버 측에), HTTPS를 사용함을 아는 것은 안전한 인증과 상태 관리에 필수적입니다.
세션/쿠키 오남용은 심각한 취약점(세션 하이재킹, 고정, XSS, CSRF)으로 이어지고, 사용자 상태 유지는 거의 보편적인 요구사항이므로, 세션과 쿠키가 어떻게 동작하고 이를 안전하게 사용하는 법을 이해하는 것은 사용자 계정이나 지속 상태가 있는 애플리케이션을 구축하는 모든 PHP 개발자에게 중요한 보안 관련 지식입니다. (Laravel 같은 프레임워크는 기본적으로 이 중 많은 부분을 안전하게 처리하지만, 근본 메커니즘과 보안 우려를 이해하는 것은 여전히 중요합니다.)