Как более правильнее сохранять id в куках?

Question

[Genri_Rus]

Есть id товаров

$id = 41, 90, 48
Проблема в том, что как перезаписывать $id в куках и можно ли ей сделать зашифрованный вид ?
setcookie("id", $id, time()+3600)

Comments

[grisha2217]

Храните ид клиента в куках, а айди товаров в базе данных.

Answer 1

[nokimaro]

1. Шифровние имеет смысл если вы не хотите чтобы значение cookie могли подменить или подсмотреть. Для этого можно использовать https://www.php.net/openssl_encrypt или любую обёртку из гугла по запросу "PHP encrypt lib"
2. Хранить в виде строки. Учтите что максимальный размер данных для cookie обычно 4Кб (строка длиной 4тыс символов). Самый компактный вариант - строка с числами через разделитель. $id = "1,2,3,4,5"; или $id = "1|2|3|4|5";

- При шифровании длина строки будет выше чем исходная.
- Для удобства можно использовать json_encode(), это пригодится если с cookie так же надо будет работать через JS.

p.s. если предполагается хранить очень много id на клиенте, то предпочтительнее использовать localstorage который поддерживается всеми современными браузерами и не лимитирован 4кб https://caniuse.com/#search=localstorage

Comments

[Genri_Rus]

Мне нужно будет с бэкенда выводить товары, наверно в данном случае localStorage не подойдет

Вообщем я правильно понимаю, что нужно на сервере создать пустой массив, примерно так ?

setcookie("id", time()+3600);
$arr = [];
$ids = 41, 90, 48
foreach ($ids as $id ) {
  $arr[] = $id;
}
$_COOKIE["id"] = implode(",", $arr);

[nokimaro]

$arr = [41, 90, 48];
setcookie("id", implode(",", $arr), time()+3600);

А и дальше уже в $_COOKIE["id"] у вас будет приходить строка "41,90,48" которую можно обратно превратить в массив
$arr = explode(',', $_COOKIE["id"]);

[Genri_Rus]

nokimaro, спасибо, а если id прилетают с разных кнопок (динамика) ?

Я просто планирую сделать избранные товары, вот думаю как лучше )

Придется циклом все равно перебирать ?

[nokimaro]

Genri_Rus, если id прилетают по нажатию на кнопку, то cookie можно модифицировать через JS без использования бэкенда и без перезагрузки страницы, точно так же сохраняя туда строку.

При этом если пользователь открывает "избранное" то PHP скрипт сможет прочитать эту cookie, получить id и вывести данные.

А так, да, делать цикл:
1. получить текущий список id в куке
2. добавить туда новый прилетевший id
3. отослать новую cookie с новым списком
- опционально проверки на валидность id (существует ли товар в БД) и проверку на дупликаты id в списке

[Genri_Rus]

nokimaro, понятно, про дубликаты я даже не подумал, нужно будет посмотреть как лучше сделать проверку

А подскажите как с зашифрованными id добавить в куку и потом расшифровать куку ?

[nokimaro]

Genri_Rus, я уже писал выше, шифруйте данные с секретным ключём
см. функции
https://www.php.net/openssl_encrypt
https://www.php.net/openssl_decrypt

$arr = [41, 90, 48]; 
$arr_string =  implode(",", $arr);
$arr_string_encrypted = // шифруем строку $arr_string через openssl_encrypt

setcookie("id", base64_encode($arr_string_encrypted), time()+3600);

и в обратную сторону

$arr_string_encrypted = base64_decode($_COOKIE['id']);
$arr_string =  // дешифруем $arr_string_encrypted через openssl_decrypt тем же ключём которым шифровали
$arr = explode(',', $arr_string);

[Genri_Rus]

nokimaro, спасибо, а по-поводу дубликатов в куке, то вот так можно ?

setcookie("id", time()+3600);
$arr = [41, 90, 48];

if ($arr == explode(',', $_COOKIE["id"]) {
  return;
}

$_COOKIE["id"] = implode(",", $arr);

[nokimaro]

Genri_Rus,
используйте функцию array_unique на массив
https://www.php.net/manual/ru/function.array-unique.php

<?php
$arr = [1,2,3,1,1];
var_dump($arr);
//[1,2,3,1,1]

$arr = array_unique($arr);
var_dump($arr);
//[1,2,3]

[Genri_Rus]

nokimaro, правильно ?

$arr = [41, 90, 48]; 
$arr_string =  implode(",", $arr);
$cipher = "aes-128-gcm";
$ivlen = openssl_cipher_iv_length($cipher);
$iv = openssl_random_pseudo_bytes($ivlen);
$arr_string_encrypted = openssl_encrypt($arr_string, $cipher, $key, $options=0, $iv, $tag)

setcookie("id", base64_encode($arr_string_encrypted), time()+3600);

$arr_string_encrypted = base64_decode($_COOKIE['id']);
$ivlen = openssl_cipher_iv_length($cipher="AES-128-CBC");
$iv = substr($arr_string_encrypted, 0, $ivlen);
$hmac = substr($arr_string_encrypted, $ivlen, $sha2len=32);
$ciphertext_raw = substr($arr_string_encrypted, $ivlen+$sha2len);

$arr_string = openssl_decrypt($ciphertext_raw, $cipher, $key, $options=OPENSSL_RAW_DATA, $iv);
$arr = explode(',', $arr_string);

А $key и $tag я так понял не нужны или это нужно еще дописывать ?

[nokimaro]

Пробуйте и всё получится
- нету вызова openssl_encrypt()
- $key надо задать, это ключ шифрования

Для вашей задачи это лишнее усложнение и шифрование не имеет особого смысла, как мне кажется.
Всё что сможет пользователь подменив cookie изменить себе список избранного который видит только он?
Но если хотите поупражняться или что-то не получается - то документация на php.net ваш лучший друг.

[Genri_Rus]

nokimaro, мне наверняка array_unique никак не сможет помочь ?

Ведь после обновления страницы массив $arr будет пустым

А в куке может быть уже сохранены id'шники, в итоге при повторных кликах по кнопкам (динамика) в пустой массив $arr добавятся снова старые id'шники и снова попадут в куку

[Araik]

Genri_Rus, а зачем вы шифруете id товаров в избранном?

[Genri_Rus]

Araik, нету смысла ?

Допустим подменить куку ?

[Araik]

Genri_Rus, Конечно нету, ну кто будет воровать куки, чтобы узнать у кого-там что в избранном лежит?)) Это не какие-то чувствительные данные, смысла их шифровать нет.

[Genri_Rus]

Araik, хорошо, спасибо за ответ

[Genri_Rus]

Araik, а фильтра тоже не стоит шифровать ?

Допустим если я в куках буду сохранять цену, id категорий ?

[Araik]

Genri_Rus, Все перечисленное шифровать где бы то ни было - нет смысла. Ну конечно, если вы не магазин в даркнете делаете - если вы понимаете о чем я )))

[Genri_Rus]

Araik, понимаю, шифроваться от ФСБ )

[Genri_Rus]

Araik, а вообще сколько хранить куку для избранных товаров и фильтров ?
Какой самый оптимальный промежуток времени ?

[Araik]

Genri_Rus, Без разницы, тут сами решайте, но однозначно приятно посетителю будет, если к примеру и через 2-3 месяца он зайдет и сможет посмотреть избранное, это же куки, хоть год храните.

[Genri_Rus]

Araik, а может вы знаете почему у меня кука только тут отображается ?


А тут ее нет

[Araik]

Genri_Rus, а где еще она должна отображаться?

[Genri_Rus]

Araik, ну во вкладке application разве не должна ?

[Araik]

Genri_Rus, не сразу заметил, эм, не знаю честно говоря, может id пустое поэтому не отображается?

[Genri_Rus]

Araik, вообщем разобрался, я куку устанавливал по клику на кнопку

И каждый раз обновлял ее