setcookie注入

### PHP `setcookie` 函数中的安全问题与防御方法

#### HttpOnly 属性的重要性
当设置 cookie 时，加入 HttpOnly 标志能够阻止客户端 JavaScript 访问该 cookie 的内容。这有助于减轻 XSS 攻击带来的风险，因为即使攻击者成功注入恶意脚本，也无法轻易窃取用户的 session ID 或其他敏感数据[^1]。

然而需要注意的是，虽然设置了 HttpOnly 可以防止读取 cookie，但这并不意味着完全免疫于所有类型的攻击；例如，如果允许用户控制部分 cookie 值，则可能会引发会话固定攻击等问题。

#### Secure 属性的作用
除了 HttpOnly 外，在调用 `setcookie()` 函数时还应该考虑启用 secure 参数。此选项确保仅通过 HTTPS 协议传输 cookies，从而减少中间人攻击的风险。对于涉及个人隐私或支付信息的应用来说尤为重要[^5]。

#### 输入验证与过滤
为了避免潜在的注入攻击，应当严格校验并清理传给 `setcookie()` 的任何外部输入。具体做法如下：

- 对路径 (`path`) 和域名 (`domain`) 进行正则表达式的匹配检查；
- 使用内置函数如 `filter_var()` 来净化变量值；
- 尽量避免直接使用未经处理过的 $_GET/$_POST 数据作为参数传递给 `setcookie()` 调用[^4]。

// 正确的方式：先对输入进行适当清洗再赋值
$cleanedValue = filter_var($_POST['value'], FILTER_SANITIZE_STRING);
setcookie('safe_cookie', $cleanedValue, [
    'expires' => time() + (86400 * 7), // 一周有效期
    'path'    => '/',
    'domain'  => '.example.com',
    'secure'  => true,
    'httponly'=> true,
]);

#### 输出编码
在显示页面之前要确保所有的输出都经过适当的 HTML 实体转义或其他形式的编码转换，以此来预防可能存在的反射型 XSS 漏洞。可以利用 PHP 提供的 `htmlspecialchars()` 函数完成这项工作。

echo htmlspecialchars($someVariableFromUserInput, ENT_QUOTES | ENT_HTML5, 'UTF-8');