答案：PHP通过setcookie()设置Cookie，需在输出前调用，参数包括名称、值、过期时间、路径、域名及安全标志；使用$_COOKIE读取，更新需同名重设，删除则设过期时间；应避免存储敏感信息，启用Secure和HttpOnly，限制作用域，并防范CSRF。

在Web开发中，Cookie是服务器发送到用户浏览器并保存在本地的一小段数据，用于记录用户状态、偏好设置或实现会话跟踪。PHP提供了简单而直接的方式来操作Cookie，但使用时需注意安全性问题。

如何在PHP中设置和读取Cookie

PHP通过setcookie()函数来设置Cookie，该函数必须在任何输出内容之前调用，否则会失败。

设置Cookie的基本语法：

• name：Cookie的名称，如 'username'
• value：要存储的值，建议避免敏感信息
• expire：过期时间（Unix时间戳），设为0表示会话结束即删除
• path：指定Cookie有效的路径，通常设为 '/' 表示整个站点可用
• domain：允许接收Cookie的域名，如 '.example.com' 可跨子域名共享
• secure：设为 true 时，仅通过HTTPS传输
• httponly：设为 true 可防止JavaScript访问，降低XSS风险

示例：设置一个7天后过期的用户偏好Cookie

读取Cookie：使用$_COOKIE超全局数组获取已设置的Cookie。

更新与删除Cookie

更新Cookie只需重新调用setcookie()并使用相同名称即可。注意原设置中的path和domain参数必须一致。

删除Cookie的方法是将其过期时间设为过去的时间：

Cookie安全注意事项

尽管Cookie方便，但若处理不当可能引发安全问题。

• 不要存储敏感信息：如密码、身份证号等，应只保存标识符（如用户ID或令牌）
• 启用Secure和HttpOnly标志：尤其在涉及登录状态时，防止Cookie被窃取或通过脚本读取
• 设置合适的Domain和Path：限制作用范围，避免不必要的暴露
• 防范CSRF攻击：结合Token机制验证请求来源，不能仅依赖Cookie存在判断身份
• 对输入进行过滤：即使从Cookie读取数据也应视为不可信输入，使用htmlspecialchars()或filter_input()处理输出

基本上就这些。合理使用PHP的Cookie功能，配合安全策略，能有效提升用户体验同时保障应用安全。