Les cookies PHP permettent de mémoriser un utilisateur, stocker une préférence (langue, thème), gérer un panier ou suivre un identifiant. Mais une mauvaise utilisation de setcookie() provoque rapidement l’erreur classique Cannot modify header information – headers already sent. Dans ce guide complet, vous allez comprendre le fonctionnement interne des cookies HTTP, voir les exemples modernes (PHP 8+), éviter les pièges classiques et appliquer les bonnes pratiques de sécurité.

1) Comment fonctionnent les cookies PHP

Un cookie PHP est une donnée envoyée par le serveur dans les en-têtes HTTP. Le navigateur la stocke puis la renvoie automatiquement lors des prochaines requêtes vers le même domaine.

Techniquement, setcookie() ajoute une ligne Set-Cookie dans la réponse HTTP. Le navigateur enregistre cette valeur et l’enverra ensuite dans l’en-tête Cookie.

Important : les cookies sont envoyés dans les headers HTTP. Dès qu’un contenu HTML est affiché, les headers sont verrouillés.

2) Créer un cookie en PHP avec setcookie()

Pour créer un cookie PHP, utilisez setcookie() AVANT tout affichage HTML.

[php]setcookie(« langue », « fr », time() + 3600);[/php]

Paramètres :

Nom

Valeur

Date d’expiration

Version moderne recommandée (PHP 7.3+)

[php]setcookie(« langue », « fr », [
« expires » => time() + 3600,
« path » => « / »,
« secure » => true,
« httponly » => true,
« samesite » => « Lax »
]);[/php]

Bonne pratique : utilisez toujours secure en HTTPS et httponly pour éviter l’accès JavaScript.

3) Lire un cookie en PHP avec $_COOKIE

Pour lire un cookie PHP, utilisez la superglobale $_COOKIE.

[php]if(isset($_COOKIE[« langue »])) {
echo $_COOKIE[« langue »];
}[/php]

Utilisez toujours isset() pour éviter les erreurs si le cookie n’existe pas.

6) Corriger l’erreur headers already sent

L’erreur headers already sent PHP signifie qu’un contenu a été envoyé avant l’appel à setcookie().

Mauvais exemple :

[php]echo « Bonjour »;
setcookie(« test », « 1 »);[/php]

Erreur : l’affichage bloque l’envoi des headers HTTP.

Bonne pratique :

[php]setcookie(« test », « 1 »);
echo « Bonjour »;[/php]

Autres causes fréquentes

Espace avant <?php

BOM UTF-8 invisible

Fichier inclus affichant du HTML

7) Sécurité et bonnes pratiques

Ne jamais stocker un mot de passe en cookie

Activer httponly

Activer secure en HTTPS

Configurer samesite=Lax ou Strict

Info : pour l’authentification sécurisée, privilégiez les sessions PHP.

8) Erreurs fréquentes

Modifier un cookie après affichage

Oublier isset()

Confondre cookie et session

Questions fréquentes

Quelle est la taille maximale d’un cookie ?

Environ 4 Ko par cookie selon les navigateurs.

Cookie PHP ou session PHP ?

Le cookie est côté client. La session est côté serveur.

Pourquoi mon cookie ne fonctionne pas ?

La cause la plus fréquente est un affichage avant setcookie().

Comment vérifier qu’un cookie existe ?

Avec isset($_COOKIE["nom"]).

Conclusion

Les cookies PHP sont simples mais exigent une gestion stricte des headers HTTP. En respectant l’ordre d’exécution et les bonnes pratiques de sécurité, vous éviterez l’erreur headers already sent et garantirez un fonctionnement fiable.

Pour aller plus loin :

Sessions PHP sécurisées

Authentification login en PHP

Protection CSRF

Laravel MCP : Le Guide Complet pour Maîtriser Chaque Aspect

Laravel MCP s’impose en 2026 comme une avancée majeure pour tous les développeurs souhaitant intégrer l’intelligence artificielle à leur environnement de développement web. Ce framework PHP modernise l’architecture MVC classique en introduisant un protocole standardisé, le Model Context Protocol (MCP),…

Intégration de l’IA dans Laravel : Créez un agent intelligent pour la recherche de documents

La montée en puissance de l’Intelligence Artificielle (IA) dans le développement web révolutionne la manière dont les applications sont conçues et exploitées. Grâce à Laravel, framework PHP de référence, cette intégration devient plus accessible, notamment pour créer des agents intelligents…

Laravel AI SDK : Créer des Outils de Base de Données Fiables et Prêts pour la Production pour Agents

Dans l’univers du développement web, l’intégration fluide de l’intelligence artificielle (IA) dans les bases de données constitue un enjeu majeur en 2026. Avec la sortie du Laravel AI SDK, l’un des frameworks PHP les plus reconnus, les développeurs disposent d’un…

Serveur Laravel MCP : Meilleures Pratiques pour l’Authentification et la Sécurité

À l’ère du numérique où les applications web sont omniprésentes, assurer une authentification robuste et une sécurité irréprochable est devenu indispensable, notamment pour les serveurs Laravel MCP. Ces serveurs fonctionnent comme une passerelle donnant accès à des actions sensibles telles…

Cookies PHP : créer, lire, supprimer + erreur headers