防止未授权访问：使用 Session 实现安全重定向-php教程-PHP中文网

防止未授权访问：使用 Session 实现安全重定向

碧海醫心

发布： 2025-08-12 21:22:20

原创

250人浏览过

防止未授权访问：使用 session 实现安全重定向

本文将介绍如何使用 PHP Session 来实现页面访问控制，防止用户通过直接修改 URL 绕过登录页面。这种方法的核心在于，用户成功登录后，服务器会设置一个 Session 变量，并在受保护的页面检查该变量是否存在。如果 Session 变量存在，则允许访问；否则，重定向回登录页面。

实现步骤

以下是实现这一功能的详细步骤，包括登录页面和受保护页面的代码示例。

1. 登录页面 (login.php)

首先，确保在登录页面开始时启动 Session：

<?php
session_start();

// 如果用户已经登录，则重定向到主页
if (isset($_SESSION['user_session'])) {
    header("location:home.php");
    exit(); // 确保脚本停止执行
}

// 处理登录逻辑
if (isset($_POST['submit'])) {
    // 连接数据库 (请替换为你的数据库配置)
    define('DB_SERVER', 'localhost');
    define('DB_USERNAME', 'root');
    define('DB_PASSWORD', 'rootpassword');
    define('DB_DATABASE', 'database');
    $db = mysqli_connect(DB_SERVER, DB_USERNAME, DB_PASSWORD, DB_DATABASE);

    $myusername = mysqli_real_escape_string($db, $_POST['username']);
    $mypassword = mysqli_real_escape_string($db, $_POST['password']);

    $sql = "SELECT id FROM admin WHERE username = '$myusername' and passcode = '$mypassword'";
    $result = mysqli_query($db, $sql);
    $row = mysqli_fetch_array($result, MYSQLI_ASSOC);
    $count = mysqli_num_rows($result);

    // 验证用户名和密码
    if ($count == 1) {
        // 设置 Session 变量
        $_SESSION['user_session'] = $row['id']; // 使用用户的唯一 ID 作为 Session 值

        // 重定向到主页
        header("location: home.php");
        exit(); // 确保脚本停止执行
    } else {
        $error = "Your Login Name or Password is invalid";
    }
}
?>

<!DOCTYPE html>
<html>
<head>
    <title>Login</title>
</head>
<body>
    <h2>Login</h2>
    <?php if (isset($error)): ?>
        <p style="color: red;"><?php echo $error; ?></p>
    <?php endif; ?>
    <form method="post" action="">
        <label for="username">Username:</label><br>
        <input type="text" id="username" name="username"><br><br>
        <label for="password">Password:</label><br>
        <input type="password" id="password" name="password"><br><br>
        <input type="submit" name="submit" value="Login">
    </form>
</body>
</html>

登录后复制

2. 受保护的页面 (home.php)

在受保护的页面，同样需要启动 Session，并检查 user_session 是否存在：

<?php
session_start();

// 如果用户未登录，则重定向到登录页面
if (!isset($_SESSION['user_session'])) {
    header("location:login.php");
    exit(); // 确保脚本停止执行
}

// 获取用户ID
$user_id = $_SESSION['user_session'];

// 可以在这里使用 $user_id 查询数据库，获取用户信息
?>

<!DOCTYPE html>
<html>
<head>
    <title>Home</title>
</head>
<body>
    <h2>Welcome to the Home Page!</h2>
    <p>User ID: <?php echo $user_id; ?></p>
    <a href="logout.php">Logout</a>
</body>
</html>

登录后复制

3. 登出页面 (logout.php)

提供一个登出功能，清除 Session 变量：

<?php
session_start();
// 清除所有 Session 变量
session_unset();

// 销毁 Session
session_destroy();

// 重定向到登录页面
header("location: login.php");
exit(); // 确保脚本停止执行
?>

登录后复制

HTML 表单代码 (signup.php)

问题中提到了 signup 按钮的 HTML 代码，这里提供一个示例：

<form method="post" action="signup_process.php" id="mainForm">
    <!-- 其他表单字段 -->
    <input type="submit" value="Create An Account" name="sub" class="but" id="press" style="margin-top:-1px; font-family:'Rajdhani'; border: none; border-radius:25px; outline: none" onclick="checkEmail()">
</form>

登录后复制

注意：

action 属性应该指向处理注册的 PHP 文件 (signup_process.php 在这个例子中)。
onclick 属性中的 checkEmail() 函数是客户端验证，用于在提交之前检查电子邮件的格式。
在 signup_process.php 中，进行服务器端验证，并将用户信息存储到数据库中。成功注册后，设置 $_SESSION['user_session'] 并重定向到 home.php。

signup_process.php (注册处理)

<?php
session_start();

if (isset($_POST['sub'])) {
    // 连接数据库 (请替换为你的数据库配置)
    define('DB_SERVER', 'localhost');
    define('DB_USERNAME', 'root');
    define('DB_PASSWORD', 'rootpassword');
    define('DB_DATABASE', 'database');
    $db = mysqli_connect(DB_SERVER, DB_USERNAME, DB_PASSWORD, DB_DATABASE);

    // 获取表单数据
    $username = mysqli_real_escape_string($db, $_POST['username']);
    $password = mysqli_real_escape_string($db, $_POST['password']);
    $email = mysqli_real_escape_string($db, $_POST['email']);
    // ... 其他字段

    // 服务器端验证
    if (empty($username) || empty($password) || empty($email)) {
        // 处理错误，例如显示错误消息
        echo "All fields are required.";
        exit();
    }

    // 检查电子邮件格式
    if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
        echo "Invalid email format";
        exit();
    }

    // 将用户信息插入数据库
    $sql = "INSERT INTO admin (username, passcode, email) VALUES ('$username', '$password', '$email')";
    if (mysqli_query($db, $sql)) {
        // 注册成功，设置 Session
        $_SESSION['user_session'] = mysqli_insert_id($db); // 获取刚插入的用户的 ID

        // 重定向到主页
        header("location: home.php");
        exit();
    } else {
        // 处理数据库错误
        echo "Error: " . $sql . "<br>" . mysqli_error($db);
    }

    mysqli_close($db);
} else {
    // 如果不是通过表单提交，则重定向到注册页面
    header("location: signup.php");
    exit();
}
?>

登录后复制

注意事项

安全性： Session ID 存储在用户的 Cookie 中。为了安全起见，请确保启用 HTTPS，防止 Session ID 被窃取。
Session 生命周期： 默认情况下，Session 在浏览器关闭时失效。可以通过设置 session.cookie_lifetime 配置项来延长 Session 的有效期。
数据库连接： 请务必使用安全的数据库连接方法，并对用户输入进行适当的转义，防止 SQL 注入攻击。
错误处理： 在实际应用中，应该提供更友好的错误提示信息，并记录错误日志，方便调试。
Ajax 和 Session: 使用 Ajax 提交表单时，需要确保 Ajax 请求能够正确地传递 Session Cookie。大多数情况下，浏览器会自动处理，但如果遇到问题，可以尝试在 Ajax 请求中手动设置 withCredentials: true。

总结

通过使用 PHP Session，可以有效地防止用户绕过登录页面直接访问受保护的页面。这种方法简单易懂，适用于大多数 Web 应用。但是，为了确保应用的安全性，还需要注意一些安全细节，例如使用 HTTPS、防止 SQL 注入等。此外，还可以考虑使用更高级的身份验证和授权机制，例如 OAuth 2.0 或 JWT，以提高应用的安全性。

以上就是防止未授权访问：使用 Session 实现安全重定向的详细内容，更多请关注php中文网其它相关文章！