如何使用 PHP 实现基于唯一用户的博文/文章浏览量统计

如何使用 PHP 实现基于唯一用户的博文/文章浏览量统计

本文介绍一种结合 cookie 与 session 的可靠方案，确保每篇文章对同一用户仅统计一次浏览量，避免页面刷新导致重复计数，兼顾安全性与实用性。

在内容型网站的开发中，无论是音乐作品展示页还是博客文章页，一个精准的“独立用户浏览量”数据，其业务价值远高于简单的页面刷新计数。然而，实现这个目标常常会遇到一些技术上的小麻烦。

比如，单纯依赖 `$_SESSION` 来标记已读文章，可能会因为会话数据在页面重载时未能及时同步，或者在复杂的请求逻辑中丢失边界，导致重复计数。而如果只使用 Cookie，虽然能跨会话识别用户，但又面临被用户清除或伪造的风险。

那么，有没有一种更稳妥的办法？答案是肯定的。一种被广泛验证有效的策略是：以 Cookie 为主导，辅以 Session 进行快速校验。这种双层架构，既能确保从用户维度进行唯一性判断，又能在服务端保留足够的控制力，在安全性和实用性之间找到了不错的平衡点。

✅ 推荐实现方案（安全增强版）

下面这段代码提供了一个可直接参考的实现。它从输入过滤开始，到数据库更新、Cookie设置，最后到Session缓存，形成了一条完整且安全的处理链路。

prepare($sql);
    $stmt->execute([$id]);

    // 5. 设置长期 Cookie（30 天），作用域为根路径，确保跨子目录有效
    setcookie($cookieKey, '1', [
        'expires' => time() + (86400 * 30),
        'path'    => '/',
        'domain'  => '', // 可选：指定域名增强安全性
        'secure'  => isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on',
        'httponly'=> true,
        'samesite'=> 'Lax'
    ]);

    // 6. 同步标记到 Session（可选，用于同会话内快速判断）
    if (!isset($_SESSION['recent_posts'])) {
        $_SESSION['recent_posts'] = [];
    }
    $_SESSION['recent_posts'][$id] = true;
}
?>

⚠️ 关键注意事项

在实施上述方案时，有几个细节需要特别留意，它们直接关系到系统的安全性和稳定性：

• 永远不要直接拼接 $_GET 参数到 SQL 中：这是一个老生常谈但至关重要的话题。示例中通过强制类型转换 `(int)` 和使用预处理语句，彻底堵上了 SQL 注入的漏洞。
• Cookie 命名需唯一化：为每篇文章生成独立的 Cookie 键名（如 `viewed_post_{$id}`），是防止多篇文章间判断逻辑互相干扰的关键。固定名称（如 `view_counted`）会导致覆盖，从而失去统计意义。
• Session 仅为辅助缓存：必须明确 Session 的定位——它是同一次浏览器会话内的快速缓存，不具备持久性。跨会话识别用户的唯一可靠依据，仍然是 Cookie。
• 考虑隐私合规：如果你的网站用户可能位于欧盟等地区，需要特别注意 GDPR 等法规的要求。在设置非必要的 Cookie 前，务必获得用户的明确同意。
• 高并发场景优化：对于访问量巨大的页面，频繁执行 `UPDATE` 语句可能会对数据库造成压力。一个常见的优化思路是引入 Redis 等内存数据库暂存计数，然后定时异步批量写入，这样可以有效避免锁表问题。

✅ 效果验证方式

方案是否生效，可以通过以下几个简单的步骤来验证：

1. 首次访问 `song.php?id=5` → 观察数据库对应记录的 `count` 字段应增加 1；
2. 刷新当前页面 → `count` 值应保持不变，因为 Cookie 已存在；
3. 清除浏览器 Cookie 后再次访问同一链接 → `count` 会再次增加 1；
4. 访问另一篇文章 `song.php?id=6` → 会触发新的 Cookie 设置和独立的计数更新。

通过这套组合方案，最终获得的浏览数据，将能更真实地反映“有多少个不同的用户看到了这篇内容”。这对于评估内容热度、分析用户行为乃至指导运营策略，都提供了远比简单 PV（页面浏览量）更为可信的数据依据。