PHP关于检测用户是否登陆,以及设置拦截器(简单实现)

昨天没有午休,搞了一下午居然没搞明白,今天半个小时搞定了,看来还是早上效率高,看了午休还是必须的

进入正题,有注册系统的网站当然必须有安全机制 ,概述如下

1.登陆 需要检测用户的合法性

<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
<?php session_start(); include("conn/conn.php");?>
<?php
function clearSession(){//清楚SESSION方法
	session_start();    //启动会话
	session_unset();    //删除会话
	session_destroy();  //结束会话
}

$username=$_POST['username'];
$password=$_POST['password'];
$auth='common';
$res=mysql_query("select password,auth from userinfo where username='$username'");
if($row=mysql_fetch_array($res)){
	$base_password=$row[0];
	$base_auth=$row[1];
	if($base_password==$password){
	echo "登陆成功！";
	$url = "main.php";  //可以写成一句,但是这样比较符号html的 结构
	echo "<script language='javascript'type='text/javascript'>";  
	echo "window.location.href='$url'";  
	echo "</script>";  
	$_SESSION['username'] = $username;//注册username的SESSION
	}else{
	clearSession();//如果有SESSION也要清除
	echo "密码错误！";  
	echo "<script language='javascript'>alert(\"密码错误！!\");</script>";
	$url = "login.html";  
	echo "<script language='javascript'type='text/javascript'>";  
	echo "window.location.href='$url'";  
	echo "</script>";  
		
	}
}else{
	clearSession();
	echo "用户名不存在！";  
	echo "<script language='javascript'>alert(\"用户名不存在！!\");</script>";
	$url = "login.html";  
	echo "<script language='javascript'type='text/javascript'>";  
	echo "window.location.href='$url'";  
	echo "</script>";  
}
?>

2.在主页要检测是否登陆过,其实就是检测上面的username是否存在(当然也可以是密码+用户名),这个文件只要使用include 放到想要检测登陆的页面就可以了

<?php
session_start();
if($_SESSION[username]==""){
	echo "<script>alert('请登录!');window.location.href='login.html';</script>";
  }
?>

使用:<?php session_start();include "check_login.php";?>

3.如果要执行退出 那么先执行

<?php
	session_start();    //启动会话
	session_unset();    //删除会话
	session_destroy();  //结束会话
	header("location:login.html");
?>

删除SESSION ,跳转到login.html

这个只是简单的实现 ,估计真正的应用网站应该不会这么简单 ,这样的安全机制太容易攻破,好一点的方法是在检查登陆那里 实现查询数据库的操作,当然这样就要耗费cpu资源了