限制访问特定页面

Question

我正在开发一个用户必须先登录的网站，然后他们才能访问他们的个人资料。但我不知道如何限制用户通过在地址栏中键入sitename.com/profile.php来直接访问配置文件页面。我碰到这个代码来了，而在Stack Overflow上搜索 这是我的login.php脚本

if(!empty($row['username']) AND !empty($row['password'])) 
{ 
    $_SESSION['login'] = true; 
    $_SESSION['username'] = $row['username']; 
    echo '<script>window.location = "profile.php"</script>'; 
} 

现在在profile.php顶部我已经把这段代码

<?php 
session_start(); 
if (!$_SESSION['login']){ 
echo '<script>window.location = "index.html"</script>'; 
} 
?> 

的用户仍然可以访问通过直接输入URL来配置profile.php。我究竟做错了什么？

Answer 1

您需要一个层次结构，然后需要确定要允许哪些级别的权限才能查看页面。下面是权限的例子列表...

10 - 管理员

9 - 站长

8 - 助理站长

7 - 主持人

6 - 高级会员

5 - 会员

4 - 惩罚会员

3 - 已注册但邮件未验证会员

2 - 当有人寄存器设置禁止帐户

所以例如 - 人类访客

1 - 搜索引擎

0他们的账户到第3级，一旦他们验证了他们的电子邮件地址，你将他们的账户级别（数据库和会话）提高到5.如果你正在编写软件，你会在这个规模上获得10的权限。

您想要为会话变量（例如$_SESSION['user_permission']）分配权限（并使用前缀user_来获取您需要的其他变量）。当你需要检查你的权限必须使用isset()，这里有一个例子...

<?php 
if (isset($_SESSION['user_permission']) && $_SESSION['user_permission']>=5) 
{ 
echo '<p>Member-only content visible here.</p>'; 
} 
else if (isset($_SESSION['user_permission'])) 
{ 
echo '<p>Stop causing trouble and you would be able to see this page.</p>'; 
} 
else 
{ 
echo '<p>Please register a new account.</p>'; 
} 
?> 

当使用isset()请确保您有正确的号码括号，常犯的错误大家做。如果你不使用isset()然后黑客就可以衡量的错误信息找到你的代码的弱点，所以总是检查的东西，而不是假定它们的存在。

此外，您不需要重定向人员，只需让PHP为客户端开始的页面提取内容，这就是我是新手，我有很酷的想法阶段我们都经历过，当你意识到你过于复杂的事情时，你会掌握这些概念。例如在我的博客/编辑链接才会出现，如果我或其他管理员/网站管理员的登录，无需重新创建整个页面只是权限所有的时候，虽然也有一些情况是一样非常明显在这种情况下，您希望尽早检查权限并确保提供正确的HTTP错误代码。

最后我已经从未发现PHP的empty()是有用的，它可能只与某些类型的数据的工作，而不是我将测试如果（$something=='')例如，

Answer 2

考虑到您使用的是Apache配置，请尝试此操作。我用过“localhost”。替换您的域名。

RewriteEngine on 
RewriteCond %{HTTP_REFERER} !^http://(www\.)?localhost [NC] 
RewriteCond %{HTTP_REFERER} !^http://(www\.)?localhost.*$ [NC] 
RewriteRule \.(php)$ - [F] 

您可以通过在RewriteRule中使用以下OR条件来扩展文件限制。例如。限制JPG访问以及PHP。

RewriteRule \.(php|jpg)$ - [F] 

希望这会有所帮助。