Session và cookie hoạt động như thế nào trong PHP? · Luyện phỏng vấn IT

Session và cookie hoạt động như thế nào trong PHP?

Cookie là những mẩu dữ liệu nhỏ lưu trong trình duyệt và gửi kèm mỗi request; session lưu dữ liệu trên server, được nhận diện bởi một cookie chứa session ID. Cùng nhau, chúng cho phép duy trì trạng thái qua giao thức HTTP vốn không trạng thái — thiết yếu cho đăng nhập, giỏ hàng và tùy chọn.

Cookie — dữ liệu lưu phía client

php



(, , [
     => () + ,    //  ngày
     => ,              // ❗ JavaScript không đọc đượ (chống XSS)
     => ,                // ❗ chỉ gửi qua HTTPS
     => ,          // ❗ chống CSRF
]);


 = [] ?? ;

php

<?php
session_start();    // bắt đầu/tiếp tục session (đặt một cookie session-ID) — trước output

// lưu dữ liệu trên SERVER (chỉ session ID nằm trong cookie ở trình duyệt)
$_SESSION["user_id"] = 42;
$_SESSION["username"] = "ann";

// đọc nó ở các request sau (sau session_start)
$userId = $_SESSION["user_id"] ?? null;

// xóa/hủy
unset($_SESSION["user_id"]);
session_destroy();

text

Cookie  → dữ liệu lưu trong TRÌNH DUYỆT, gửi mỗi request, giới hạn kích thước, người dùng thấy được
          → cho tùy chọn không nhạy cảm (theme), hoặc chính session ID
Session → dữ liệu lưu trên SERVER (DB/Redis/file), chỉ ID trong cookie
          → cho dữ liệu nhạy cảm/lớn hơn (danh tính người dùng, giỏ hàng) — giữ bí mật ở server

text

✓ Dùng cookie httponly + secure + samesite (chống XSS & CSRF)
✓ Tái sinh session ID khi đăng nhập: session_regenerate_id(true) (ngăn fixation)
✓ Đừng lưu bí mật trong cookie; giữ dữ liệu nhạy cảm trong SESSION (phía server)
✓ Dùng HTTPS để cookie session không bị chặn bắt

Session và cookie hoạt động như thế nào trong PHP?

Cookie — dữ liệu lưu phía client

Session — dữ liệu lưu phía server

Cookie vs session

Thực hành bảo mật tốt

Tại sao điều này quan trọng