如何确保只有登录用户才能访问页面？

我真的很困扰整个'只有登录的用户可以查看此页'。 Php对我来说是新的，我似乎无法弄清楚这一点。也许这是一个愚蠢的问题，或者我的代码是不正确的，但我真的想弄明白这一点。如何确保只有登录用户才能访问页面？

的login.php：

<?php 
    session_start(); 

    function is_logged() { 
     if (isset($_SESSION['username'])) return $_SESSION['username']; 
     else return false; 
    } 

    if (is_logged()) { 
     $user_id = is_logged(); 

     do_something($user_id); 
    } else { 
     if (isset($_POST['submit'])) { //form submitted 
      //check login and password, if they are correct, do this: 
      $_SESSION['username'] = $username_from_database; 
      //if not correct 
      unset($_SESSION['username']); 

      header('Location: welcome.php'); //refresh page 
     } else { 
      //show login form with button named 'submit' 
     } 
    } 
?> 



<html> 
<head> 
    <title>Login</title> 
</head> 
<body> 
<?php 
if (!isset($_POST['submit'])){ 
?> 
<!-- The HTML login form --> 
    <form action="<?=$_SERVER['PHP_SELF']?>" method="post"> 
     Username: <input type="text" name="username" /><br /> 
     Password: <input type="password" name="password" /><br /> 

     <input type="submit" name="submit" value="Login" /> 
    </form> 
<?php 
} else { 
    require_once("db_const.php"); 
    $mysqli = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME); 
    # check connection 
    if ($mysqli->connect_errno) { 
     echo "<p>MySQL error no {$mysqli->connect_errno} : {$mysqli->connect_error}</p>"; 
     exit(); 
    } 

    $username = $_POST['username']; 
    $password = $_POST['password']; 

    $sql = "SELECT * from GEBRUIKERS WHERE username LIKE '{$username}' AND password LIKE '{$password}' LIMIT 1"; 
    $result = $mysqli->query($sql); 
    if (!$result->num_rows == 1) { 
     echo "<p>Invalid username/password combination</p>"; 
    } else { 
     echo "<p>Logged in successfully</p>"; 
     // do stuffs 
    } 



    if (mysqli_num_rows($result) > 0) { 
    // Output data of each row 
    while($row = mysqli_fetch_assoc($result)) { 
     $_SESSION['+login_user']=$user; // Initializing Session 
     header("location: welcome.php"); // Redirecting To Other Page 
    } 
} 


else { 
    $error = "Username or Password is invalid"; 
} 

mysqli_close($conn); // Closing Connection 

} 
?>  
</body> 
</html>

的welcome.php：

<?php 
session_start(); 

?> 
<!doctype html> 
<html> 
<head> 
<meta charset="UTF-8"> 
<link rel="stylesheet" type="text/css" href="style.css"/> 
<!--Header wordt opgehaald--> 
</head> 
<?php 
    require "header2.php" 
?> 

<?php 
$servername = "localhost"; 
$username = ""; 
$password = ""; 
$database = ""; 
// Create connection 
$conn = mysqli_connect($servername, $username, $password, $database); 
// Check connection 
if (!$conn) { 
       die("Connection failed: " . mysqli_connect_error());  
} 
echo "Connected successfully"; 
?> 

<body> 

<?php 
//Perform queries 
$sql = "SELECT acteur_voornaam, acteur_tussenvoegsel, acteur_achternaam, acteur_geboortedatum FROM FILM_ACTEURS"; 
$result = $conn->query($sql); 
//Films 
if ($result->num_rows > 0) { 
    echo "<table style='border: solid 1px grey; margin-left: auto; margin-right: auto; margin-top:50px;'><th>Voornaam</th><th>Tussenvoegsel</th><th>Achternaam</th><th>Geboortedatum</th></tr>"; 
    // output data of each row 
    while($row = $result->fetch_assoc()) { 
     echo "<tr><td>" . $row["acteur_voornaam"] . "<td>" . $row["acteur_tussenvoegsel"]. "<td> " . $row["acteur_achternaam"]. "<td> " . $row["acteur_geboortedatum"] . "" . "</td></tr>"; 
    } 
     echo "<table>"; 
} else { 
    echo "0 results"; 
} 

$conn->close(); 
?> 
    </body> 
    <?php 
//Footer wordt opgehaald 

    include "footer.php" 

?> 


    </html>

来源

2017-04-17 Nienke

顶部调用每个页面上is_logged（）'。并且如果它返回false重定向登录.php –

**警告：**您打开'sql注入'，请阅读[如何使用预处理语句]（http://php.net/manual/en/mysqli.quickstart.prepared-statements.php）。 'sql注入'意味着你是开放的攻击，他们可以访问你的数据库和manupulate它。 **另一个警告**将您的密码进行哈希处理，将其保存为数据库时不会**。使用'password_hash（）'和'password_verify（）'来加密你的密码。 – Nytrix

谢谢，我想我是开放的SQL注入。现在这是一个学校作业。 – Nienke

在session_start（）;并检查is_logged（）;必须包含在所有仅限会员的页面中，还有一个原因是您的代码无法正常工作，即您在注销后未清除会话变量，因此您的浏览器会自动登录您

来源

2017-04-17 11:18:09

哦，真的吗？我如何清除该会话？ – Nienke

@Nienke'unset（$ _ SESSION [“loggedIn”）;' – Nytrix

我也认为问题在于它被清除*正确*设置后...只是* mayybbeee *。 – Nytrix

在您的登录功能中创建会话像成功登录块内部变量：

$_SESSION['loggedIn'] = true;

现在每个页面，登录被访问页面所需的把下面的检查：

if(!isset($_SESSION['loggedIn']) && ($_SESSION['loggedIn'] != true)) 
{ 
    // redirect the user to login screen if the session variable is not set and its value is not true 
    header('location: login.php'); 
}

注：要访问会话，您必须在每个页面上放置session_start()，并且它必须是第一行。

来源

2017-04-17 11:18:32

首先创建一个名为session.php页面，你必须在所有的页面

<?php 
    session_start(); 

    function is_logged() { 
     if (isset($_SESSION['username'])) return $_SESSION['username']; 
     else return false; 
    } 

    if (is_logged()) { 
     $user_id = is_logged(); 

     do_something($user_id); 
    } else { 
     if (isset($_POST['submit'])) { //form submitted 
      //check login and password, if they are correct, do this: 
      $_SESSION['username'] = $username_from_database; 
      //if not correct 
      unset($_SESSION['username']); 

      header('Location: welcome.php'); //refresh page 
     } else { 
      //show login form with button named 'submit' 
     } 
    } 
?>

其次包括：包括session.php页面中的所有页面。这将检查会话或重定向到登录页面。

在欢迎页面

：Welcome.php在页面的顶部包括session.php像：

<?php 
inlcude 'session.php'; 
?>

如果需要的话不要在session.php文件进行必要的更改。

注意：您可以给任何名称session.php文件。

来源

2017-04-17 11:19:27 Ravistm

我在尝试，但第一次很难。 – Nienke

这是一个好的实践，还是对问题的回答？它并没有解释任何问题，或解决这个问题...... – Nytrix

尝试在PHP中使用isset函数。将会话开始后的波纹管代码放在welcome.php文件中。

if(!(isset($_SESSION['username']) && $_SESSION['username'] != '')){ 
    header ("Location: login.php"); 
}else{ 
    header ("Location: welcome.php"); 
}

如果会话“用户名”未设置，则在登录页面上重定向。如果会话已经初始化，然后重定向到welcome.php。

来源

2017-04-17 11:26:35

这使我回到登录页面，但现在当我想登录时，我只是留在登录页面。 – Nienke

也在登录页面中应用相同的条件并确保会话启动与否。你可以用<？php echo $ _SESSION ['username']; ？> –

这没有任何意义，为什么你会把这个相同的条件在登录页面？你也明显错过了她有一个函数'is_logged（）'，这使得它更容易。如果一切正常，它不应该重定向到登录页面。因此，将它添加到登录页面，不会改变*任何*。 – Nytrix

如何确保只有登录用户才能访问页面？

回答

相关问题